Katalog CVE

CVE-2026-54753

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.81%

Percentyl 52 — wyżej niż 52% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu Nx (wersje od 17.0.4 do 22.7.2 oraz 23.0.0-beta.2) polega na tym, że lokalny serwer HTTP uruchamiany przez komendę `nx graph` ustawia nagłówek `Access-Control-Allow-Origin: *` w każdej odpowiedzi. Umożliwia to dowolnej stronie internetowej odwiedzanej przez programistę odczytanie odpowiedzi serwera w kontekście międzyźródłowym, w tym pełnego grafu projektu oraz wyniku endpointu `/help`, który wykonuje skonfigurowane polecenie pomocy dla danego celu.

Ocena ryzyka

Głównym ryzykiem jest ujawnienie informacji między źródłami (cross-origin information disclosure), a w rzadkich przypadkach może dojść do zdalnego wykonania dowolnego polecenia (arbitrary command injection) na maszynie programisty.

Rekomendacja

Należy niezwłocznie zaktualizować Nx do wersji 22.7.2 lub nowszej (lub 23.0.0-beta.2), która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, należy unikać uruchamiania `nx graph` podczas przeglądania niezaufanych stron internetowych.

Oryginalny opis (angielski, źródło NVD)

Nx is a monorepo solution for TypeScript and polyglot codebases. From 17.0.4 until 22.7.2 and 23.0.0-beta.2, the local HTTP server started by nx graph sent Access-Control-Allow-Origin: * on every response, letting any website a developer visited read the server's responses cross-origin — including the full project graph and the output of the /help endpoint, which runs a target's configured help command. The practical impact is typically cross-origin information disclosure, but can be arbitrary command injection in rare cases. This vulnerability is fixed in 22.7.2 and 23.0.0-beta.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS