PT-2025-47601 · Zx · Zx
Ali Firas
·
Publicado
2025-11-20
·
Atualizado
2025-11-24
·
CVE-2025-13437
CVSS v4.0
5.6
Média
| Vetor | AV:L/AC:L/AT:N/PR:N/UI:A/VC:N/VI:H/VA:H/SC:N/SI:H/SA:H/E:U/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
zx (versões afetadas não especificadas)
Descrição
Existe uma falha no zx onde, ao ser invocado com a opção
--prefer-local apontando para um caminho específico, a interface de linha de comando cria um link simbólico nomeado ./node modules para o diretório node modules do caminho especificado. Um erro de lógica no arquivo src/cli.ts, especificamente nas funções linkNodeModules e cleanup, faz com que a função retorne o caminho de destino em vez do caminho do link simbólico. Posteriormente, a rotina de limpeza exclui inadvertidamente o diretório de destino fora do diretório de trabalho atual. Isso pode levar à exclusão de diretórios node modules externos. As funções vulneráveis são linkNodeModules() e cleanup(). O parâmetro vulnerável é <path>.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zx