L’article publié le 1 août 2025 sur Socket.dev met en lumière une vulnérabilité critique dans le package @nestjs/devtools-integration. Cette faille permet aux attaquants de réaliser une exécution de code à distance (RCE) sur les machines des développeurs.
La vulnérabilité exploite l’utilisation peu sécurisée du module Node.js vm pour le sandboxing du code, combinée à une attaque par falsification de requête intersite (CSRF). Les attaquants peuvent contourner la sandbox en manipulant les propriétés du constructeur et en exploitant les requêtes de type text/plain qui échappent aux restrictions CORS.
Le problème réside dans l’exposition d’endpoints sur localhost qui exécutent du code JavaScript arbitraire à partir de requêtes POST JSON. Cela permet à des sites web malveillants de cibler les environnements de développement et d’exécuter du code arbitraire.
La faille a été corrigée par une amélioration du sandboxing, une validation du type de contenu, et l’ajout de requêtes de jetons d’authentification.
Cet article appartient à la catégorie des rapports de vulnérabilité et vise à informer les développeurs et professionnels de la sécurité des risques associés à cette vulnérabilité et des mesures correctives mises en place.
🔗 Source originale : https://socket.dev/blog/nestjs-rce-vuln