PT-2025-36489 · Unknown · Codeceptjs

Dremig

·

Publicado

2025-09-08

·

Atualizado

2025-09-12

·

CVE-2025-57285

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas: codeceptjs versão 3.7.3
Descrição: O codeceptjs versão 3.7.3 contém uma vulnerabilidade de injeção de comando na função emptyFolder, localizada em lib/utils.js. O comando execSync concatena diretamente o parâmetro directoryPath controlado pelo usuário sem sanitização ou escape, potencialmente permitindo que atacantes executem comandos arbitrários.
Recomendações: Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77

Identificadores relacionados

CVE-2025-57285
GHSA-34W8-MCWR-VG29

Produtos afetados

Codeceptjs