Goby 漏洞安全通告| NestJS DevTools /inspector/graph/interact 命令执行漏洞(CVE-2025-54782)

漏洞名称:NestJS DevTools /inspector/graph/interact 命令执行漏洞(CVE-2025-54782)

English Name:NestJS DevTools /inspector/graph/interact Command Execution Vulnerability (CVE-2025-54782)

CVSS core:

9.4

风险等级:

高风险

漏洞描述:

NestJS DevTools 是一个用于构建可扩展 Node.js 应用程序的流行开发工具集。其 /inspector/graph/interact 接口存在远程代码执行漏洞(CVE-2025-54782)。攻击者可以通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令,可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。

该漏洞允许攻击者通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令,可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。

FOFA自检语句:

header="devtools.nestjs.com" && body="for the request"

受影响版本:

version <0.2.1

漏洞检测工具:

【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞验证效果如图所示(标准版及企业版已支持检测):

查看Goby更多漏洞:Goby历史漏洞合集

相关推荐
驱动开发00714 小时前
虚拟摄像头VirtualUSB UVC CAMERA下载 支持将手机摄像头映射成PC端摄像头
驱动开发·安全·电脑
程序员三明治15 小时前
HTTPS 真的牢不可破吗?—— 中间人攻击与安全机制解析
网络协议·安全·https
文火冰糖的硅基工坊16 小时前
《投资-88》价值投资者的认知升级与交易规则重构 - 第三层:估值安全边际,“再好的公司,如果买贵了,也会变成一笔糟糕的投资。”
安全·重构
wdfk_prog16 小时前
[Linux]学习笔记系列 -- lib/timerqueue.c Timer Queue Management 高精度定时器的有序数据结构
linux·c语言·数据结构·笔记·单片机·学习·安全
爱奥尼欧21 小时前
【Linux】系统部分——线程安全与线程的单例模式
linux·安全·单例模式
YoungLime1 天前
DVWA靶场之三:跨站请求伪造(CSRF)
网络·安全·web安全
国科安芯1 天前
ASP3605电源芯片的性能优化与改进思路
网络·单片机·嵌入式硬件·安全·性能优化
xiejava10181 天前
开源安全管理平台wazuh-阻止恶意IP访问
安全·开源·wazuh
CIb0la1 天前
微软宣布 Windows 11 v25H2 GA
运维·安全·生活
YoungLime1 天前
DVWA靶场之十二:储存型 XSS(Stored Cross Site Scripting (XSS))
网络·安全·web安全