JVNDB-2026-018366

Open JS FoundationのNode Version Manager (NVM)におけるOS コマンドインジェクションの脆弱性

nvm（Node Version Manager）バージョン0.40.4までには、設定されたNode.js/io.jsミラーから提供されるバージョン文字列に含まれる任意のコマンドを実行される脆弱性があります。例えば、`nvm install`コマンドはミラーのindex.tabから利用可能なバージョンを読み取り、選択されたバージョンをサニタイズせずにダウンロードURLやシェル/awkコマンドの構築に使用します。同じ信頼されていない入力が2つの箇所に影響します。nvm_download()関数はcurl/wgetコマンド文字列を生成し、`eval`で実行するため、コマンド置換（例：$(id)）を含むバージョンフィールドがローカルシェルによって実行されます。またnvm_get_checksum()関数はバージョン由来のダウンロードスラッグをawkプログラムに挿入するため、細工されたバージョンがawkのsystem()経由で任意のコマンドを実行させます。攻撃者が設定されたミラーを制御し、ユーザーやCIにミラーコンテンツを非デフォルトミラー経由で供給するか、TLSを使用しないミラーで中間者攻撃を行った場合、nvmを実行するユーザーの権限で任意のコマンドを実行できます。デフォルトのミラー（TLS経由のhttps://nodejs.org）は影響を受けません。本問題は、引数をすべてリテラルargv要素としてevalを使わずに渡し、awkに値を-programに埋め込むのではなく-vオプションでデータとして渡し、使用前にNode.js/io.jsのバージョングラムマに沿わないバージョンを拒否することで修正され、masterブランチにて対応済みです（次のタグ付きリリースを待っています）。

Open JS Foundation

• Node Version Manager (NVM) 0.40.5 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
・当該ソフトウェアが完全に停止する可能性があります。

ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : nvm executes commands from a malicious mirror's version strings (eval in nvm_download, awk in nvm_get_checksum)  Advisory  nvm-sh/nvm  GitHub

1. OSコマンドインジェクション(CWE-78) [その他]

1. CVE-2026-10796

1. National Vulnerability Database (NVD) : CVE-2026-10796
2. 関連文書 : [Fix] `nvm_download_artifact`: reject version strings with disallowed…  nvm-sh/nvm@70fb4ed  GitHub
3. 関連文書 : [Fix] `nvm_get_checksum`: pass the tarball name to awk as data, not p…  nvm-sh/nvm@90bb887  GitHub
4. 関連文書 : [Fix] `nvm_download`: avoid `eval` so mirror-supplied version strings…  nvm-sh/nvm@6d870d1  GitHub

• [2026年06月08日]
    掲載