CVE-2025-54782

plus petit que 1 minute de lecture

Mis à jour : August 08, 2025

Exécution de Code à Distance dans NestJS Devtools

Une faille critique, identifiée comme CVE-2025-54782, permet l’exécution de code à distance dans le package @nestjs/devtools-integration du framework NestJS. Cette vulnérabilité concerne les projets NestJS utilisant l’intégration devtools et affecte les versions 0.2.0 et antérieures.

Elle résulte d’un sandbox JavaScript non sécurisé et de l’absence de protections inter-origines. Un site malveillant peut exploiter cette faille en envoyant une requête POST spécifiquement conçue au serveur HTTP local de devtools. Le point d’accès vulnérable, /inspector/graph/interact, traite des entrées JSON contenant du code, l’exécutant ensuite dans un environnement sandbox vm.runInNewContext de Node.js.

Points Clés :

Type de vulnérabilité : Exécution de Code à Distance (RCE)
Composant affecté : @nestjs/devtools-integration
Framework : NestJS
Versions affectées : 0.2.0 et inférieures
Cause : Sandbox JavaScript non sécurisé et absence de protections inter-origines.
Mécanisme d’exploitation : Requête POST malveillante vers /inspector/graph/interact sur le serveur devtools local.

Vulnérabilités :

CVE-2025-54782

Recommandations :

Mettre à jour le package @nestjs/devtools-integration vers une version corrigée.
Désactiver l’intégration devtools si la mise à jour n’est pas immédiatement possible.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-54782

Exécution de Code à Distance dans NestJS Devtools

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast