CVE-2026-54753
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 52 — wyżej niż 52% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu Nx (wersje od 17.0.4 do 22.7.2 oraz 23.0.0-beta.2) polega na tym, że lokalny serwer HTTP uruchamiany przez komendę `nx graph` ustawia nagłówek `Access-Control-Allow-Origin: *` w każdej odpowiedzi. Umożliwia to dowolnej stronie internetowej odwiedzanej przez programistę odczytanie odpowiedzi serwera w kontekście międzyźródłowym, w tym pełnego grafu projektu oraz wyniku endpointu `/help`, który wykonuje skonfigurowane polecenie pomocy dla danego celu.
Ocena ryzyka
Głównym ryzykiem jest ujawnienie informacji między źródłami (cross-origin information disclosure), a w rzadkich przypadkach może dojść do zdalnego wykonania dowolnego polecenia (arbitrary command injection) na maszynie programisty.
Rekomendacja
Należy niezwłocznie zaktualizować Nx do wersji 22.7.2 lub nowszej (lub 23.0.0-beta.2), która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, należy unikać uruchamiania `nx graph` podczas przeglądania niezaufanych stron internetowych.
Oryginalny opis (angielski, źródło NVD)
Nx is a monorepo solution for TypeScript and polyglot codebases. From 17.0.4 until 22.7.2 and 23.0.0-beta.2, the local HTTP server started by nx graph sent Access-Control-Allow-Origin: * on every response, letting any website a developer visited read the server's responses cross-origin — including the full project graph and the output of the /help endpoint, which runs a target's configured help command. The practical impact is typically cross-origin information disclosure, but can be arbitrary command injection in rare cases. This vulnerability is fixed in 22.7.2 and 23.0.0-beta.2.

