CVE-2026-10796

Nome do Software Vulnerável e Versões Afetadas nvm versões anteriores a 0.40.5

Description Ocorre a injeção de comandos quando o software executa comandos arbitrários a partir de strings de versão fornecidas por um espelho (mirror) configurado do Node.js/io.js. Quando comandos como nvm install leem as versões disponíveis no arquivo index.tab do espelho, a versão selecionada é usada sem sanitização para construir URLs de download e comandos shell/awk. Dois sinks específicos são afetados: a função nvm download() constrói uma string de comando curl/wget e a executa usando eval, permitindo que a substituição de comandos (ex: $(id)) seja executada pelo shell local; a função nvm get checksum() interpola o slug de download derivado da versão em um programa awk, permitindo a execução de comandos arbitrários via função system() do awk. Um invasor que controle o espelho, forneça conteúdo a um usuário ou CI em um espelho não padrão, ou realize um ataque de machine-in-the-middle em um espelho sem TLS, pode executar comandos com os privilégios do usuário que executa o software.

Recommendations Atualize para uma versão posterior a 0.40.4. Use o espelho HTTPS padrão (https://nodejs.org) para minimizar o risco de exploração.