glob CLI: Command-Injection-Lücke durch -c/--cmd ermöglicht Codeausführung

Die npm-Bibliothek glob weist eine schwere Schwachstelle (CVE-2025-64756) in ihrem CLI-Tool auf: Die Option -c/–cmd führt gefundene Dateinamen mit shell:true aus – und ermöglicht so Command Injection, wenn Dateien manipulierte Namen enthalten. Betroffen sind glob-Versionen ab 10.2.0 bis 10.4.x sowie 11.0.x; abgesichert wurde der Fehler in den Releases 10.5.0 und 11.1.0.

Die Lücke entsteht, weil der CLI-Code gefundene Dateien ungefiltert an foregroundChild() übergibt. Enthalten die Dateinamen Shell-Metazeichen wie $(), Backticks, | oder ;, interpretiert die Shell diese beim Ausführen des Kommandos und führt beliebigen Code aus – mit allen Rechten des Nutzers oder CI-Systems. Ein einfacher PoC: Eine Datei namens ‘$(touch injected_poc)’ erzeugt bei Ausführung von glob -c echo “**/*” eine neue Datei injected_poc.

Besonders kritisch ist die Schwachstelle in CI/CD-Pipelines, Entwickler-Workflows und Upload-Verarbeitungen, bei denen Angreifer Dateinamen kontrollieren können. Szenarien reichen vom Auslesen von Secrets über Reverse-Shells bis hin zur Manipulation von Build-Artefakten.

Betroffen ist ausschließlich die CLI; die glob-Library-API bleibt sicher. Nutzer sollten dringend auf die gepatchten Versionen aktualisieren oder – falls zwingend erforderlich – auf sichere Argumentübergabe via –cmd-arg wechseln.

Related Posts

Neue Angriffswelle auf Cisco-Firewalls – Patch dringend empfohlen

Cisco warnt erneut vor aktiven Angriffen auf Geräte mit Cisco Secure ASA und FTD Software. Nach Angaben des Unternehmens wurde am 5. November 2025 eine neue Angriffsversion entdeckt, die auf die Schwachstellen CVE-2025-20333 und CVE-2025-20362 abzielt. Ungepatchte Firewalls können dadurch unerwartet neu starten und so in einen Denial-of-Service-Zustand geraten.

Read More

Shai-Hulud 2.0: Neue npm-Supply-Chain-Attacke legt 25.000+ Repos offen

Ein neuer Ableger der Shai-Hulud-Kampagne trifft aktuell das npm-Ökosystem. Angreifer haben teils stark verbreitete Pakete – unter anderem aus den Ökosystemen von Zapier, ENS Domains, PostHog und Postman – mit trojanisierten Versionen kompromittiert, so berichtet der Security Blog von WIZ. Diese werden zwischen dem 21. und 23. November 2025 auf npm eingestellt und führen beim Installieren im preinstall-Schritt Credential-Stealer-Code aus.

Read More

Docker: runc-Schwachstellen ermöglichen Container-Escape

Drei neue Sicherheitslücken im Container-Runtime-Tool runc (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) ermöglichen unter bestimmten Bedingungen den Ausbruch aus Containern und potenziell Root-Zugriff auf das Host-System. Die von einem SUSE-Forscher entdeckten Schwachstellen betreffen Docker-, Kubernetes- und andere runc-basierte Plattformen.

Read More