Die npm-Bibliothek glob weist eine schwere Schwachstelle (CVE-2025-64756) in ihrem CLI-Tool auf: Die Option -c/–cmd führt gefundene Dateinamen mit shell:true aus – und ermöglicht so Command Injection, wenn Dateien manipulierte Namen enthalten. Betroffen sind glob-Versionen ab 10.2.0 bis 10.4.x sowie 11.0.x; abgesichert wurde der Fehler in den Releases 10.5.0 und 11.1.0.
Die Lücke entsteht, weil der CLI-Code gefundene Dateien ungefiltert an foregroundChild() übergibt. Enthalten die Dateinamen Shell-Metazeichen wie $(), Backticks, | oder ;, interpretiert die Shell diese beim Ausführen des Kommandos und führt beliebigen Code aus – mit allen Rechten des Nutzers oder CI-Systems. Ein einfacher PoC: Eine Datei namens ‚$(touch injected_poc)‘ erzeugt bei Ausführung von glob -c echo „**/*“ eine neue Datei injected_poc.
Besonders kritisch ist die Schwachstelle in CI/CD-Pipelines, Entwickler-Workflows und Upload-Verarbeitungen, bei denen Angreifer Dateinamen kontrollieren können. Szenarien reichen vom Auslesen von Secrets über Reverse-Shells bis hin zur Manipulation von Build-Artefakten.
Betroffen ist ausschließlich die CLI; die glob-Library-API bleibt sicher. Nutzer sollten dringend auf die gepatchten Versionen aktualisieren oder – falls zwingend erforderlich – auf sichere Argumentübergabe via –cmd-arg wechseln.
