CVE-2026-10796
HighCVSS 7.5Summary
nvm (Node Version Manager) w wersjach do 0.40.4 wykonuje dowolne polecenia z ciągów wersji dostarczonych przez skonfigurowany serwer lustrzany Node.js/io.js. Polecenia takie jak `nvm install` odczytują dostępne wersje z indeksu serwera, a następnie wykorzystują wybraną wersję do budowy adresów URL i poleceń shell/awk bez odpowiedniej sanitizacji.
Risk Assessment
Atakujący, który kontroluje skonfigurowany serwer lustrzany lub przechwytuje połączenie z serwerem bez TLS, może uruchomić dowolne polecenia z uprawnieniami użytkownika uruchamiającego nvm. Domyślny serwer lustrzany (https://nodejs.org przez TLS) nie jest podatny na tę lukę.
Recommendation
Zaleca się aktualizację nvm do najnowszej wersji, która wprowadza poprawki polegające na przekazywaniu argumentów jako literalnych elementów argv oraz odrzucaniu wersji spoza gramatyki wersji Node.js/io.js przed ich użyciem.
Original NVD description (English source)
nvm (Node Version Manager) through 0.40.4 executes arbitrary commands from version strings supplied by the configured Node.js/io.js mirror. Commands such as `nvm install` read the available versions from the mirror's index.tab and use the selected version, without sanitization, to build download URLs and shell/awk commands. Two sinks are affected by the same untrusted input: nvm_download() built a curl/wget command string and ran it with `eval`, so a version field containing command substitution (for example $(id)) was executed by the local shell; and nvm_get_checksum() interpolated the version-derived download slug into an awk program, so a crafted version could execute arbitrary commands via awk's system(). An attacker who controls the configured mirror, supplies mirror content to a user or CI on a non-default mirror, or machine-in-the-middles a non-TLS mirror can ∴ run arbitrary commands with the privileges of the user running nvm. The default mirror (https://nodejs.org over TLS) is not affected. Fixed on master (pending the next tagged release) by passing every argument as a literal argv element instead of using eval, by passing the value to awk as data via -v instead of interpolating it into the program, and by rejecting any version outside the Node.js/io.js version grammar before it is used.

