CVE-2026-44593
WysokieCVSS 8.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 - wyżej niż 28% wszystkich znanych CVE
Streszczenie
CVE-2026-44593 dotyczy esm.sh, sieci CDN do rozwoju aplikacji webowych, w której starszy router nie sanitizuje komponentów ścieżki przy tworzeniu klucza do przechowywania. To pozwala atakującemu na zapis danych w dowolnej lokalizacji na serwerze.
Ocena ryzyka
Ryzyko związane z tą podatnością polega na możliwości nieautoryzowanego zapisu danych w systemie plików serwera, co może prowadzić do utraty danych lub kompromitacji systemu.
Rekomendacja
Zaleca się aktualizację do wersji 138 lub nowszej, w której problem został naprawiony, oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak walidacja i sanitizacja ścieżek przed ich użyciem.
Oryginalny opis (angielski, źródło NVD)
esm.sh is a no-build content delivery network (CDN) for web development. In 137 and earlier, the legacy router first retrieves a response from legacyServer, parses the incoming request path, and ultimately writes the data to storage via buildStorage.Put. The router concatenates the path components without sanitizing them, producing a storage key. When this key is used, the underlying file system resolves the relative segments and writes the file to the specified path. Thus an attacker can craft a request that writes data to arbitrary locations on the server.

