CVE-2025-65025

Nome do Software Vulnerável e Versões Afetadas Versões do esm.sh anteriores à 136

Descrição O serviço CDN esm.sh está suscetível a uma vulnerabilidade de path traversal durante a extração de tarballs de pacotes NPM. Um atacante pode criar um pacote NPM malicioso com caminhos de arquivo manipulados, como package/../../tmp/evil.js. Quando o esm.sh baixa e extrai este pacote, arquivos podem ser gravados em locais fora do diretório de extração pretendido, permitindo potencialmente a gravação arbitrária de arquivos no servidor.

Recomendações Atualize para a versão 136 ou posterior.