Katalog CVE

CVE-2026-53632

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

Pakiet launch-editor umożliwia użytkownikom otwieranie plików z numerami linii w edytorze z Node.js. W wersjach przed 2.14.1, pakiet ten uzyskuje dostęp do dowolnych ścieżek, w tym do ścieżek UNC w systemie Windows, co prowadzi do wycieku hasła NTLMv2 użytkownika.

Ocena ryzyka

W wyniku tej podatności, atakujący może przejąć hasło NTLMv2 użytkownika poprzez zdalny serwer SMB, co prowadzi do kompromitacji poświadczeń.

Rekomendacja

Zaleca się aktualizację pakietu launch-editor do wersji 2.14.1 lub nowszej, aby zlikwidować tę podatność.

Oryginalny opis (angielski, źródło NVD)

launch-editor allows users to open files with line numbers in editor from Node.js. Prior to 2.14.1, the launch-editor NPM package accesses arbitrary paths including Windows UNC paths. When a UNC path is opened, Windows automatically attempts NTLM authentication to the remote host, causing the user’s NTLMv2 password hash to be leaked to an attacker-controlled SMB server. This can result in credential compromise through offline hash cracking. This vulnerability is fixed in 2.14.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS