esm.sh路径遍历漏洞深度解析:CVE-2026-23644技术细节与修复方案
CVE-2026-23644:esm-dev esm.sh中的路径遍历漏洞
威胁概况
严重性:高
类型:漏洞
CVE编号:CVE-2026-23644
漏洞描述
esm.sh是一个用于Web开发的无构建内容分发网络(CDN)。在Go伪版本0.0.0-20260116051925-c62ab83c589e之前,由于修复不完整,该软件存在路径遍历漏洞。path.Clean函数会规范化路径,但无法阻止恶意tar文件中的绝对路径。
提交https://github.com/esm-dev/esm.sh/commit/9d77b88c320733ff6689d938d85d246a3af9af16(对应伪版本0.0.0-20260116051925-c62ab83c589e)修复了此问题。
技术详情
数据版本:5.2
分配者简称:GitHub_M
预留日期:2026-01-14T16:08:37.484Z
CVSS版本:4.0
状态:已发布
威胁ID:696d652dd302b072d904091e
添加到数据库时间:2026年1月18日 22:56:45
最后更新时间:2026年1月18日 22:57:10
查看次数:1
来源信息
来源:CVE数据库V5
发布时间:2026年1月18日 星期日
供应商/项目:esm-dev
产品:esm.sh
社区互动
社区评价
0条评价
通过众包缓解策略、分享情报背景,并对最有帮助的回应进行投票。登录添加您的声音,帮助防御者保持领先。
排序方式:热门|最新|最旧
社区提示
▼正在加载社区见解…
想要贡献缓解步骤或威胁情报背景?请登录或创建账户加入社区讨论。
相关威胁
- CVE-2026-23525:1Panel-dev 1Panel中的跨站脚本漏洞(CWE-79) - 中危 - 2026年1月18日
- CVE-2026-1126:lwj flow中的无限制文件上传漏洞 - 中危 - 2026年1月18日
- CVE-2026-1125:D-Link DIR-823X中的命令注入漏洞 - 中危 - 2026年1月18日
- CVE-2026-1124:Yonyou KSOA中的SQL注入漏洞 - 中危 - 2026年1月18日
- CVE-2026-0863:CWE-95动态评估代码中指令的不当中和漏洞 - 高危 - 2026年1月18日
操作选项
使用AI分析
请登录控制台使用AI分析功能。
分享
外部链接
- NVD数据库
- MITRE CVE
- 参考链接1
- 参考链接2
- 参考链接3
- 参考链接4
- 在Google上搜索
平台信息
最新威胁:安全团队需要了解下一步重要信息的实时情报。
注册号:SEQ SIA 40203410806
地址:Lastadijas 12 k-3, Riga, Latvia, LV-1050
价格包含增值税(21%)
支持:radar@offseq.com
电话:+371 2256 5353
平台导航
- 仪表板
- 威胁
- 威胁地图
- 订阅源
- API文档
- 账户控制台
- 支持
- OffSeq.com
- 职业发展
- 服务
- 联系我们
工作时间:周一至周五 09:00–18:00 (东欧时间)
响应时间:3个工作日内
政策与支付
- 条款与条件 ↗
- 交付条款 ↺
- 退货与退款
- 隐私政策 🔒
接受的支付方式:银行卡支付由EveryPay安全处理。
社交媒体
- Mastodon
- GitHub
- Bluesky
键盘快捷键
导航
- 前往主页:g h
- 前往威胁:g t
- 前往地图:g m
- 前往订阅源:g f
- 前往控制台:g c
搜索与筛选
- 聚焦搜索/切换筛选器:/
- 选择"所有时间"筛选器:a
- 清除所有筛选器:c l
- 刷新数据:r
UI控制
- 切换深色/浅色主题:t
- 显示键盘快捷键:?
- 清除焦点/关闭模态框:Esc
辅助功能
- 导航到下一项:j
- 导航到上一项:k
- 激活选中项:Enter
提示:随时按?键切换此帮助面板。多键快捷键如g h应按顺序按下。FINISHED
aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7B3D5F1YP2B7g1CoH423L1YrK0/uOUhI3kVLWKja+p7Xjgny2U1Yy5K/WJCtU+fK6m56iDQo/driT9KCnGHHy/F
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)