
Se ha descubierto una vulnerabilidad de severidad crítica en el framework NestJS. Un actor malicioso podría ejecutar código remoto en dispositivos de desarrolladores de JavaScript.
Productos afectados
- NestJS, versiones 0.2.0 y anteriores.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-54782: con una puntuación de 9.4 en CVSS v4.0. La vulnerabilidad proviene del punto de conexión HTTP /inspector/graph/interact en el paquete @nestjs/devtools-integration, que procesa una entrada JSON que contiene un campo de código y lo ejecuta en el sandbox de Node.js vm.runInNewContext. Un actor malicioso podría aprovechar esta vulnerabilidad para ejecutar código arbitrario en el dispositivo del desarrollador de JavaScript cuando este visite un sitio web malicioso.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-54782
- https://github.com/nestjs/nest/security/advisories/GHSA-85cg-cmq5-qjm7