CVE-2026-53632
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
Pakiet launch-editor umożliwia użytkownikom otwieranie plików z numerami linii w edytorze z Node.js. W wersjach przed 2.14.1, pakiet ten uzyskuje dostęp do dowolnych ścieżek, w tym do ścieżek UNC w systemie Windows, co prowadzi do wycieku hasła NTLMv2 użytkownika.
Ocena ryzyka
W wyniku tej podatności, atakujący może przejąć hasło NTLMv2 użytkownika poprzez zdalny serwer SMB, co prowadzi do kompromitacji poświadczeń.
Rekomendacja
Zaleca się aktualizację pakietu launch-editor do wersji 2.14.1 lub nowszej, aby zlikwidować tę podatność.
Oryginalny opis (angielski, źródło NVD)
launch-editor allows users to open files with line numbers in editor from Node.js. Prior to 2.14.1, the launch-editor NPM package accesses arbitrary paths including Windows UNC paths. When a UNC path is opened, Windows automatically attempts NTLM authentication to the remote host, causing the user’s NTLMv2 password hash to be leaked to an attacker-controlled SMB server. This can result in credential compromise through offline hash cracking. This vulnerability is fixed in 2.14.1.

