CVE-2025-54782

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-54782
Nest is a framework for building scalable Node.js server-side applications. In versions 0.2.0 and below, a critical Remote Code Execution (RCE) vulnerability was discovered in the @nestjs/devtools-integration package. When enabled, the package exposes a local development HTTP server with an API endpoint that uses an unsafe JavaScript sandbox (safe-eval-like implementation). Due to improper sandboxing and missing cross-origin protections, any malicious website visited by a developer can execute arbitrary code on their local machine. The package adds HTTP endpoints to a locally running NestJS development server. One of these endpoints, /inspector/graph/interact, accepts JSON input containing a code field and executes the provided code in a Node.js vm.runInNewContext sandbox. This is fixed in version 0.2.1.
CVSS

No CVSS.

References
Link Resource
https://github.com/JLLeitschuh/nestjs-devtools-integration-rce-poc
https://github.com/JLLeitschuh/nestjs-typescript-starter-w-devtools-integration
https://github.com/nestjs/nest/security/advisories/GHSA-85cg-cmq5-qjm7
https://nodejs.org/api/vm.html
https://socket.dev/blog/nestjs-rce-vuln
https://github.com/nestjs/nest/security/advisories/GHSA-85cg-cmq5-qjm7
Configurations

No configuration.

History

04 Aug 2025, 16:15

Type Values Removed Values Added
References () https://github.com/nestjs/nest/security/advisories/GHSA-85cg-cmq5-qjm7 - () https://github.com/nestjs/nest/security/advisories/GHSA-85cg-cmq5-qjm7 -

04 Aug 2025, 15:06

Type Values Removed Values Added
Summary
  • (es) Nest es un framework para crear aplicaciones escalables del lado del servidor en Node.js. En las versiones 0.2.0 y anteriores, se descubrió una vulnerabilidad crítica de Ejecución Remota de Código (RCE) en el paquete @nestjs/devtools-integration. Al habilitarse, el paquete expone un servidor HTTP de desarrollo local con un endpoint de API que utiliza un entorno de pruebas de JavaScript inseguro (implementación similar a la de evaluación segura). Debido a un entorno de pruebas inadecuado y a la falta de protecciones entre orígenes, cualquier sitio web malicioso visitado por un desarrollador puede ejecutar código arbitrario en su equipo local. El paquete añade endpoints HTTP a un servidor de desarrollo NestJS que se ejecuta localmente. Uno de estos endpoints, /inspector/graph/interact, acepta una entrada JSON que contiene un campo de código y ejecuta el código proporcionado en un entorno de pruebas vm.runInNewContext de Node.js. Esto se solucionó en la versión 0.2.1.

02 Aug 2025, 00:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-08-02 00:15

Updated : 2025-08-04 16:15

NVD link : CVE-2025-54782

Mitre link : CVE-2025-54782

CVE.ORG link : CVE-2025-54782

JSON object : View

Products Affected

No product.

CWE
CWE-77

Improper Neutralization of Special Elements used in a Command ('Command Injection')

CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

CWE-352

Cross-Site Request Forgery (CSRF)