📄 Description (English)
esm.sh is a no-build content delivery network (CDN) for web development. Prior to Go pseeudoversion 0.0.0-20260116051925-c62ab83c589e, the software has a path traversal vulnerability due to an incomplete fix. `path.Clean` normalizes a path but does not prevent absolute paths in a malicious tar file. Commit https://github.com/esm-dev/esm.sh/commit/9d77b88c320733ff6689d938d85d246a3af9af16, corresponding to pseudoversion 0.0.0-20260116051925-c62ab83c589e, fixes this issue.
🤖 AI Executive Summary
esm.sh CDN contains a path traversal vulnerability (CVE-2026-23644) allowing attackers to extract files outside intended directories via malicious tar archives. The vulnerability affects versions prior to pseudoversion 0.0.0-20260116051925-c62ab83c589e and has publicly available exploits. Organizations using esm.sh for JavaScript module delivery face risks of arbitrary file extraction and potential code injection attacks.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: May 4, 2026 11:49
🇸🇦 Saudi Arabia Impact Assessment
Saudi technology companies, fintech startups, and government digital transformation initiatives using esm.sh for web application development face significant risk. Financial services sector (SAMA-regulated entities) and e-commerce platforms are particularly vulnerable if they rely on esm.sh for frontend dependencies. Government agencies under NCA oversight using this CDN could experience supply chain attacks. Telecommunications providers (STC, Mobily) and digital service providers may be affected if esm.sh is integrated into their development pipelines. The vulnerability enables attackers to inject malicious code into production applications, potentially compromising customer data and system integrity.
🏢 Affected Saudi Sectors
Financial Services (SAMA-regulated banks)
Government Digital Services (NCA oversight)
E-commerce and Retail
Telecommunications (STC, Mobily, Zain)
Healthcare and Medical Technology
Energy Sector (ARAMCO subsidiaries)
Software Development and IT Services
Fintech and Digital Payment Providers
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:
1. Identify all applications and services using esm.sh CDN across your infrastructure
2. Review dependency manifests and package.json files for esm.sh references
3. Implement network monitoring to detect suspicious tar file extraction patterns
Patching Guidance:
1. Update esm.sh to pseudoversion 0.0.0-20260116051925-c62ab83c589e or later
2. Rebuild and redeploy all applications using updated esm.sh dependencies
3. Verify patch application by checking commit hash in deployment logs
Compensating Controls (if immediate patching not possible):
1. Implement strict input validation on tar file processing
2. Use containerization with restricted filesystem permissions to limit path traversal impact
3. Deploy Web Application Firewall (WAF) rules to detect malicious tar payloads
4. Restrict esm.sh CDN access to whitelisted IP ranges only
5. Monitor file system access logs for unexpected file creation outside designated directories
Detection Rules:
1. Alert on tar extraction attempts with absolute paths (starting with /)
2. Monitor for file creation in unexpected system directories from CDN processes
3. Track esm.sh version mismatches between declared and actual deployments
4. Implement YARA rules to detect malicious tar signatures in network traffic
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع التطبيقات والخدمات التي تستخدم شبكة توصيل esm.sh عبر البنية التحتية الخاصة بك
2. مراجعة ملفات البيانات الوصفية للمشروع وملفات package.json للبحث عن مراجع esm.sh
3. تنفيذ مراقبة الشبكة للكشف عن أنماط استخراج ملفات tar المريبة
إرشادات التصحيح:
1. تحديث esm.sh إلى الإصدار الزائف 0.0.0-20260116051925-c62ab83c589e أو أحدث
2. إعادة بناء ونشر جميع التطبيقات باستخدام تبعيات esm.sh المحدثة
3. التحقق من تطبيق التصحيح بفحص بصمة الالتزام في سجلات النشر
الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكناً):
1. تنفيذ التحقق الصارم من صحة المدخلات على معالجة ملفات tar
2. استخدام الحاويات مع أذونات نظام الملفات المقيدة لتحديد تأثير اجتياز المسار
3. نشر قواعد جدار الحماية لتطبيقات الويب (WAF) للكشف عن حمولات tar الضارة
4. تقييد وصول شبكة توصيل esm.sh إلى نطاقات IP المدرجة في القائمة البيضاء فقط
5. مراقبة سجلات الوصول إلى نظام الملفات للكشف عن إنشاء ملفات غير متوقعة خارج الدلائل المخصصة
قواعد الكشف:
1. تنبيهات على محاولات استخراج tar بمسارات مطلقة (تبدأ بـ /)
2. مراقبة إنشاء الملفات في دلائل النظام غير المتوقعة من عمليات شبكة التوصيل
3. تتبع عدم تطابق إصدار esm.sh بين الإصدارات المعلنة والفعلية
4. تنفيذ قواعد YARA للكشف عن توقيعات tar الضارة في حركة المرور على الشبكة
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Change management procedures for software updates
ECC 2024 A.12.6.1 - Management of technical vulnerabilities
ECC 2024 A.14.2.5 - Restrictions on changes to software packages
🔵 SAMA CSF
SAMA CSF ID.SC-4 - Supply chain risk management
SAMA CSF PR.IP-1 - Information and technology asset management
SAMA CSF DE.CM-1 - Detection and analysis of anomalies
🟡 ISO 27001:2022
ISO 27001:2022 A.8.1 - Asset management
ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities
ISO 27001:2022 A.14.2.1 - Change management
ISO 27001:2022 A.14.2.5 - Restrictions on changes to software packages
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Ensure security patches are installed
PCI DSS 6.3.1 - Identify and evaluate all security patches
PCI DSS 12.3.10 - Implement processes to manage security patches
🔗 References & Sources 4
🔗
https://github.com/esm-dev/esm.sh/commit/9d77b88c320733ff6689d938d85d246a3af9af16
security-advisories@github.com
Patch
🔗
https://github.com/esm-dev/esm.sh/commit/c62ab83c589e7b421a0e1376d2a00a4e48161093
security-advisories@github.com
Patch
🔗
https://github.com/esm-dev/esm.sh/security/advisories/GHSA-2657-3c98-63jq
security-advisories@github.com
Vendor Advisory
🔗
https://pkg.go.dev/vuln/GO-2025-4138
security-advisories@github.com
Exploit
Vendor Advisory
📦 Affected Products / CPE 1 entries
esm:esm.sh