Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-01716

Опубликовано: 17 нояб. 2025
Источник: fstec
CVSS3: 7.5
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость функции foregroundChild() библиотеки для поиска файлов и директорий Glob программной платформы Node.js связана с некорректной обработкой параметра shell в файлах .bat и .cmd. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Node.js Foundation
Сообщество свободного программного обеспечения

Наименование ПО

Node.js
Glob

Версия ПО

20.20.0 (Node.js)
от 10.2.0 до 10.5.0 (Glob)
до 11.1.0 (Glob)
до 12.0.0 (Glob)
22.22.0 (Node.js)
24.13.0 (Node.js)
25.3.0 (Node.js)

Тип ПО

Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/isaacs/node-glob/security/advisories/GHSA-5j98-mcp5-4vw2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 13%
0.00044
Низкий

7.5 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-64756

CVSS3: 7.5
ubuntu
4 месяца назад

Glob matches files using patterns the shell uses. Starting in version 10.2.0 and prior to versions 10.5.0 and 11.1.0, the glob CLI contains a command injection vulnerability in its -c/--cmd option that allows arbitrary command execution when processing files with malicious names. When glob -c <command> <patterns> are used, matched filenames are passed to a shell with shell: true, enabling shell metacharacters in filenames to trigger command injection and achieve arbitrary code execution under the user or CI account privileges. This issue has been patched in versions 10.5.0 and 11.1.0.

redhat логотип

CVE-2025-64756

CVSS3: 7.5
redhat
4 месяца назад

Glob matches files using patterns the shell uses. Starting in version 10.2.0 and prior to versions 10.5.0 and 11.1.0, the glob CLI contains a command injection vulnerability in its -c/--cmd option that allows arbitrary command execution when processing files with malicious names. When glob -c <command> <patterns> are used, matched filenames are passed to a shell with shell: true, enabling shell metacharacters in filenames to trigger command injection and achieve arbitrary code execution under the user or CI account privileges. This issue has been patched in versions 10.5.0 and 11.1.0.

nvd логотип

CVE-2025-64756

CVSS3: 7.5
nvd
4 месяца назад

Glob matches files using patterns the shell uses. Starting in version 10.2.0 and prior to versions 10.5.0 and 11.1.0, the glob CLI contains a command injection vulnerability in its -c/--cmd option that allows arbitrary command execution when processing files with malicious names. When glob -c <command> <patterns> are used, matched filenames are passed to a shell with shell: true, enabling shell metacharacters in filenames to trigger command injection and achieve arbitrary code execution under the user or CI account privileges. This issue has been patched in versions 10.5.0 and 11.1.0.

debian логотип

CVE-2025-64756

CVSS3: 7.5
debian
4 месяца назад

Glob matches files using patterns the shell uses. Starting in version ...

github логотип

GHSA-5j98-mcp5-4vw2

CVSS3: 7.5
github
4 месяца назад

glob CLI: Command injection via -c/--cmd executes matches with shell:true

EPSS

Процентиль: 13%
0.00044
Низкий

7.5 High

CVSS3

7.1 High

CVSS2