CVE-2026-44594

Nome do Software Vulnerável e Versões Afetadas esm.sh versões 137 e anteriores

Description Um problema de Inclusão de Arquivo Local (LFI) existe no processamento do campo browser dentro do arquivo package.json pelo plugin esbuild. Um invasor pode publicar um pacote npm malicioso que utiliza sequências ../ no campo browser para remapear caminhos de módulos. Como o plugin não realiza uma segunda verificação de validação após esse remapeamento, o servidor pode ser forçado a ler e retornar arquivos arbitrários do sistema de arquivos do host durante o processo de build. Esses arquivos podem aparecer na saída do JavaScript empacotado ou na matriz sourcesContent do mapa de origem. O impacto inclui a exposição potencial de arquivos sensíveis, como o arquivo config.json, que pode conter credenciais de armazenamento S3 e tokens de autenticação do registro npm.

Recommendations Atualize para uma versão posterior à 137. Como mitigação temporária, restrinja o uso do campo browser no package.json para pacotes npm não confiáveis.