В экосистеме JavaScript-фреймворков выявлена опасная уязвимость, ставящая под угрозу безопасность разработчиков по всему миру. Речь идёт о критической проблеме в популярном фреймворке NestJS, позволяющей злоумышленникам выполнять произвольный код на компьютерах инженеров во время разработки приложений. Уязвимость, зарегистрированная под идентификатором CVE-2025-54782, получила максимальный балл 10.0 по шкале CVSS v4 из-за катастрофического потенциала воздействия. Проблема сконцентрирована в пакете @nestjs/devtools-integration, который по умолчанию активируется в режиме разработки и открывает локальный HTTP-сервер на машине программиста.
Детали уязвимости
Исследователи безопасности обнаружили, что корень проблемы лежит в фатальном сочетании двух факторов: небезопасной реализации песочницы JavaScript и недостаточной защиты от межсайтовых запросов. Эксплуатация становится возможной через API-эндпоинт /inspector/graph/interact, который принимает и выполняет JavaScript-код в специально предназначенном для этого окружении. Анализ кода показал, что механизм песочницы основан на устаревшем подходе, напоминающем заброшенную библиотеку safe-eval, и использует метод vm.runInNewContext из Node.js. Документация Node.js прямо предупреждает, что данный метод не предназначен для исполнения непроверенного кода и не обеспечивает должной изоляции.
Главная опасность заключается в хорошо изученных техниках побега из песочницы, позволяющих злоумышленнику обойти ограничения и запустить произвольные команды операционной системы. Второй компонент уязвимости - отсутствие верификации заголовков Origin и Content-Type при обработке входящих запросов. Хотя сервер устанавливает Access-Control-Allow-Origin для фиксированного домена, он не проверяет реальное происхождение запроса. Это позволяет атакующим создавать специально сформированные POST-запросы с типом содержимого text/plain через HTML-формы или XMLHttpRequest, полностью обходя механизмы CORS.
Сценарий атаки отличается пугающей простотой и минимальными требованиями к взаимодействию с жертвой. Разработчику достаточно посетить подготовленную злоумышленником веб-страницу, содержащую скрытую форму или JavaScript-код, автоматически отправляющий вредоносный запрос на локальный сервер разработки. Поскольку сервер работает на том же компьютере, что и среда разработки, атака не требует дополнительных действий со стороны пользователя. Экспериментальные подтверждения концепции продемонстрировали возможность выполнения системных команд, запуска приложений и доступа к файловой системе. Потенциальные последствия включают кражу конфиденциальных данных, установку вредоносного ПО или полный компрометац системы.
Уязвимость была обнаружена исследователем JLLeitschuh при поддержке компании Socket, специализирующейся на анализе безопасности программного обеспечения. После ответственного раскрытия информации команда NestJS оперативно выпустила патч, устраняющий риски. Меры включали полную замену небезопасной песочницы на библиотеку @nyariv/sandboxjs, внедрение строгой проверки заголовков Origin и Content-Type, а также добавление аутентификации для подключений инструментов разработки. Пользователям настоятельно рекомендуется проверить версию пакета @nestjs/devtools-integration в своих проектах.
Данный инцидент поднимает фундаментальные вопросы о безопасности инструментов разработки, которые по умолчанию считаются доверенными компонентами. Локальные серверы, отладочные интерфейсы и средства инспекции кода создают скрытые векторы атаки, особенно при неадекватной обработке входящих данных. История с NestJS демонстрирует, как устаревшие практики исполнения кода могут сохраняться в современных инструментах, создавая бреши в периметре безопасности. Проблема усугубляется тем, что разработчики редко рассматривают свою локальную среду как потенциальную мишень для удалённых атак, сосредотачиваясь на защите продакшен-серверов.
Современные веб-технологии, такие как WebSockets, Server-Sent Events и сложные API, расширяют поверхность атаки инструментов разработки. Исследование Socket показало, что аналогичные уязвимости могут существовать в других фреймворках, где реализованы интерактивные консоли или удалённая отладка. Особую озабоченность вызывает растущая популярность "горячей перезагрузки" модулей, при которой изменения кода применяются без перезапуска приложения. Такие механизмы часто требуют выполнения динамического кода, создавая дополнительные риски при неверной реализации изоляции.
Патч для NestJS стал важным шагом в устранении непосредственной угрозы, однако инцидент оставляет после себя серьёзные уроки для индустрии. Безопасность инструментов разработки требует такого же внимания, как и защита рабочих сред, поскольку компрометация машины программиста открывает доступ к исходному коду, учетным данным и системам непрерывной интеграции. Производителям фреймворков следует пересмотреть архитектурные решения, связанные с выполнением динамического кода, и внедрить принцип минимальных привилегий для всех компонентов, работающих в режиме разработки. Текущая ситуация также подчеркивает важность регулярных аудитов безопасности вспомогательных пакетов, которые могут не привлекать такого же внимания, как ядро фреймворка.
В контексте развития экосистемы JavaScript подобные уязвимости напоминают о необходимости тщательной оценки зависимостей, особенно когда речь идет о выполнении кода. Сообществу стоит активнее изучать альтернативные подходы к интроспекции приложений, исключающие интерпретацию непроверенного ввода. История CVE-2025-54782 войдёт в анналы как пример того, как рутинные инструменты отладки могут превратиться в оружие против своих создателей при недостаточной проработке механизмов безопасности. Отрасль продолжит сталкиваться с подобными вызовами по мере усложнения инструментария и роста автоматизации процессов разработки.
Ссылки
- https://github.com/nestjs/nest/security/advisories/GHSA-85cg-cmq5-qjm7
- https://nvd.nist.gov/vuln/detail/CVE-2025-54782
- https://www.cve.org/CVERecord?id=CVE-2025-54782
- https://github.com/JLLeitschuh/nestjs-devtools-integration-rce-poc
- https://github.com/JLLeitschuh/nestjs-typescript-starter-w-devtools-integration
