CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-44593

HighCVSS 8.7
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.36%

28th percentile - higher than 28% of all known CVEs

Summary

CVE-2026-44593 dotyczy esm.sh, sieci CDN do rozwoju aplikacji webowych, w której starszy router nie sanitizuje komponentów ścieżki przy tworzeniu klucza do przechowywania. To pozwala atakującemu na zapis danych w dowolnej lokalizacji na serwerze.

Risk Assessment

Ryzyko związane z tą podatnością polega na możliwości nieautoryzowanego zapisu danych w systemie plików serwera, co może prowadzić do utraty danych lub kompromitacji systemu.

Recommendation

Zaleca się aktualizację do wersji 138 lub nowszej, w której problem został naprawiony, oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak walidacja i sanitizacja ścieżek przed ich użyciem.

Original NVD description (English source)

esm.sh is a no-build content delivery network (CDN) for web development. In 137 and earlier, the legacy router first retrieves a response from legacyServer, parses the incoming request path, and ultimately writes the data to storage via buildStorage.Put. The router concatenates the path components without sanitizing them, producing a storage key. When this key is used, the underlying file system resolves the relative segments and writes the file to the specified path. Thus an attacker can craft a request that writes data to arbitrary locations on the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS