glob CLI erlaubt Command Injection über -c/--cmd-Option

Im npm-Paket glob wurde eine schwerwiegende Command-Injection-Schwachstelle in der Kommandozeilenoberfläche entdeckt. Betroffen sind die Versionen >= 10.2.0 bis < 10.5.0 sowie 11.0.x. Die Lücke ist unter CVE-2025-64756 registriert und wird mit hohem Schweregrad (CVSS 8.8) bewertet.

Ursache ist die -c/–cmd-Option der glob CLI. Bei deren Nutzung werden gefundene Dateinamen ungefiltert an eine Shell mit shell:true übergeben. Enthalten Dateinamen Shell-Metazeichen wie $(), Backticks oder Pipes, können diese beim Ausführen interpretiert werden und zur Ausführung beliebiger Befehle führen.

Die Schwachstelle betrifft ausschließlich die CLI-Komponente. Die eigentliche glob-Bibliothek und ihre API-Funktionen gelten als nicht verwundbar. Ein realistisches Angriffsszenario sind CI/CD-Pipelines oder Build-Skripte, die glob -c auf Inhalte aus untrusted Quellen anwenden, etwa bei Pull Requests oder automatisierter Verarbeitung von Archiven.

Angreifer können auf diese Weise Code mit den Rechten des ausführenden Benutzers oder CI-Accounts ausführen, inklusive Zugriff auf Umgebungsvariablen, Secrets und Netzwerkressourcen. Besonders kritisch ist dies in Linux- und macOS-Umgebungen, wie sie in vielen Build-Systemen eingesetzt werden.

Als Gegenmaßnahme wird dringend empfohlen, auf glob 10.5.0, 11.1.0 oder 12.0.0 zu aktualisieren. Alternativ sollten positional arguments durch –cmd-arg/-g ersetzt werden. Der Einsatz von –shell sollte nur in Ausnahmefällen erfolgen und ausschließlich dann, wenn ausgeschlossen ist, dass manipulierte Dateinamen verarbeitet werden.

Related Posts

Node.js veröffentlicht umfangreiche Security-Updates für mehrere Versionen

Das Node.js-Projekt hat am Dienstag, den 13. Januar 2026, neue Sicherheitsupdates für die aktiven Release-Linien 20.x, 22.x, 24.x und 25.x bereitgestellt. Insgesamt beheben die Updates drei Schwachstellen mit hoher, vier mit mittlerer und eine mit niedriger Kritikalität.

Read More

CVE-2026-20824 Windows Remote Assistance umgeht Downloadprüfung

Microsoft hat eine Schwachstelle in Windows Remote Assistance behoben, die es Angreifern ermöglicht, die Mark-of-the-Web-(MOTW)-Schutzmechanismen zu umgehen. Die unter CVE-2026-20824 geführte Lücke wird als Fehler in einem Schutzmechanismus eingestuft und besitzt einen CVSS-Score von 5,5.

Read More

Reprompt: One-Click-Angriff auf Microsoft Copilot erlaubte verdeckte Datenabflüsse

Varonis hat mit „Reprompt“ einen Angriff beschrieben, der in Microsoft Copilot Personal mit nur einem Klick auf einen legitimen Microsoft-Copilot-Link eine verdeckte Datenabfluss-Kette auslösen konnte. Die Methode nutzte unter anderem den URL-Parameter q, um Prompts beim Öffnen der Copilot-Webseite automatisch auszuführen – ohne dass Nutzer aktiv etwas in Copilot eingeben mussten.

Read More