JavaScript-Framework NestJS mit kritischer Schwachstelle

Die entdeckte und nun geschlossene Sicherheitslücke befindet sich im Paket devtools-integration des Frameworks NestJS. Angreifende können über die Lücke Schad-Code einschleusen, so einen RCE-Angriff (Remote Code Execution) ausführen und das System kompromittieren. Ein Proof of Concept (PoC) ist veröffentlicht, was die Ausnutzung der Sicherheitslücke wahrscheinlicher macht.

Für eine Infizierung des Entwicklungsrechners reicht es aus, wenn der Entwickler eine entsprechend präparierte Web-Site besucht und gleichzeitig ein NestJS-Entwicklungs-Server läuft.

Die Sicherheitslücke hat die Kennung CVE-2025-54782 (EUVD-2025-23413) und einen CVSS-Base-Score von 9.4/10. Betroffen sind alle Versionen des Produkts bis einschließlich Version 0.2.0.

NestJS ist ein Framework zur Entwicklung skalierbarer Server-seitiger Anwendungen.

Aktualisieren Sie das Paket @nestjs/devtools-integration auf die Version 0.2.1.