A New Security Vulnerability in NestJs: CVE-2025-54782

1./ Tổng quan và phân tích.

CVE-2025-54782 là lỗ hổng trong Nestjs/devtools-integration, một công cụ phổ biến được sử dụng để phát triển ứng dụng backend bằng Node.js. Lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa trên máy cục bộ của người dùng lập trình viên.

Chi tiết lỗ hổng này như sau:

STT	Lỗ hổng	Mô tả	Mức độ
1	CVE-2025-54782	Lỗ hổng bảo mật nằm ở cách xử lý các yêu cầu từ endpoint /inspector/graph/interact, cho phép thực thi mã JavaScript được gửi từ bên ngoài mà không có cơ chế xác thực nào. Cách thức khai thác: –          Kẻ tấn công gửi một đoạn payload Javascript độc hại đến endpoint /inspector/graph/interact trên máy của lập trình viên đang chạy ứng dụng Nestjs. –          Endpoint này chấp nhận dữ liệu vào kiểu JSON có chứa trường “code” và thực thi code trong vm.runInNewContext sandbox. ð  Nạn nhân xem qua endpoint này sẽ bị tấn công RCE trên máy tính, nếu máy này đang chạy tích hợp công cụ NetJS Devtools.	NGHIÊM TRỌNG (9.4/10)

2./ Vấn đề chính:

Sandbox không an toàn:

• Cơ chế sandbox được triển khai có thiết kế rất giống với thư viện safe-eval – một dự án đã bị bỏ rơi và được cộng đồng bảo mật khuyến cáo không nên sử dụng.
• Module vm của Node.js được tài liệu chính thức chỉ rõ là không cung cấp biện pháp bảo mật để thực thi mã không đáng tin cậy. Nhiều kỹ thuật sandbox escape (thoát khỏi sandbox) đã được công bố có thể dẫn tới thực thi mã tùy ý (RCE).

Thiếu kiểm tra CORS/Origin một cách đầy đủ:

• Máy chủ có thiết lập Access-Control-Allow-Origin cố định về một miền duy nhất (https://devtools.nestjs.com), nhưng không thực hiện kiểm tra xác thực giá trị của Origin hoặc Content-Type từ phía client.
• Điều này mở ra khả năng cho kẻ tấn công gửi yêu cầu POST với loại nội dung text/plain thông qua các biểu mẫu HTML hoặc các truy vấn XHR đơn giản, qua đó bỏ qua hoàn toàn quá trình kiểm tra preflight của CORS.

3./ Chi tiết các bản cập nhật và khuyến nghị

** Khuyến nghị:

• Kiểm tra, rà soát và xác minh đối với các cảnh báo lỗ hổng nếu hệ thống có sử dụng phần mềm nằm trong cảnh báo thì thực hiện nâng cấp bản vá theo khuyến nghị của nhà phát hành.

** Các phiên bản ảnh hưởng và phiên bản cần nâng cấp

CVE	Phiên bản ảnh hưởng	Phiên bản cần nâng cấp
CVE-2025-54782	<=0.2.0	0.2.1

**Một số nguồn tham khảo:

• https://github.com/nestjs/nest/security/advisories/GHSA-85cg-cmq5-qjm7
• https://nvd.nist.gov/vuln/detail/CVE-2025-54782
• https://github.com/JLLeitschuh/nestjs-devtools-integration-rce-poc
• https://github.com/JLLeitschuh/nestjs-typescript-starter-w-devtools-integration