CVE-2026-44593
HighCVSS 8.7Exploitation Probability (EPSS)
Low risk28th percentile - higher than 28% of all known CVEs
Summary
CVE-2026-44593 dotyczy esm.sh, sieci CDN do rozwoju aplikacji webowych, w której starszy router nie sanitizuje komponentów ścieżki przy tworzeniu klucza do przechowywania. To pozwala atakującemu na zapis danych w dowolnej lokalizacji na serwerze.
Risk Assessment
Ryzyko związane z tą podatnością polega na możliwości nieautoryzowanego zapisu danych w systemie plików serwera, co może prowadzić do utraty danych lub kompromitacji systemu.
Recommendation
Zaleca się aktualizację do wersji 138 lub nowszej, w której problem został naprawiony, oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak walidacja i sanitizacja ścieżek przed ich użyciem.
Original NVD description (English source)
esm.sh is a no-build content delivery network (CDN) for web development. In 137 and earlier, the legacy router first retrieves a response from legacyServer, parses the incoming request path, and ultimately writes the data to storage via buildStorage.Put. The router concatenates the path components without sanitizing them, producing a storage key. When this key is used, the underlying file system resolves the relative segments and writes the file to the specified path. Thus an attacker can craft a request that writes data to arbitrary locations on the server.

