Zum Inhalt springen
Auto-CTI
Zurück zu heute
NEU LOW

Node.js Trust Falls: Dangerous Module Resolution on Windows

Zero Day Initiative - Blog · · CVE-2026-0776 , CVE-2026-0775

Kennzahlen

CVSS
7.3
EPSS
0%

Key Insight

Ein systemisches Design-Problem in Node.js' Modulauflösung auf Windows ermöglicht Privilege Escalation durch lokale Dateisystem-Manipulation, bleibt aber von Discord und Node.js nicht als kritisch eingestuft.

Beschreibung

Node.js sucht Module standardmäßig in C:\node_modules, was es unprivilegierten Windows-Benutzern ermöglicht, bösartige Module dort zu platzieren und Privilege-Escalation zu erreichen. Die Schwachstelle betrifft Anwendungen mit fehlenden oder optionalen Abhängigkeiten; wenn ein Paket nicht vorhanden ist, wird die Suche bis zum Laufwerk-Wurzelverzeichnis fortgesetzt. Die Discord-Desktop-App (CVE-2026-0776) bleibt ungepatcht, nachdem der Hersteller lokale Angriffsvektoren als außerhalb des Sicherheitsbereichs einstufte. Das Zero Day Initiative kündigte öffentliche Disclosure an, nachdem Vendor-Koordination scheiterte.

Risk Score

38
cvss base
73.00
kev bonus
0.00
epss bonus
0.00
poc bonus
15.00
raw before weight
88.00
industry weight
1.10
freshness factor
0.50
days old
53.00
vendor mismatch penalty
-10.00

Pfad: operational

MITRE ATT&CK Mapping

4 TTPs
Recon
Resource Dev
Initial Access
Execution
Persistence
Priv. Escal.
T1574.008 Path Interception by Search Order Hijacking T1068 Exploitation for Privilege Escalation
Def. Evasion
T1574.001 DLL Search Order Hijacking T1036.005 Match Legitimate Name or Location
Cred. Access
Discovery
Lateral Mov.
Collection
C2
Exfiltration
Impact
Conf.: high medium low

Procedure-Details

Technik Tactic Procedure Conf. Quelle
T1574.008
Path Interception by Search Order Hijacking
 Privilege Escalation Low-privileged Windows users exploit Node.js module resolution order by creating C:\node_modules and planting malicious packages there, causing Node.js applications to load the attacker-controlled module instead of the legitimate one when the legitimate package is missing or optional high llm
T1574.001
DLL Search Order Hijacking
 Defense Evasion Malicious Node.js modules are placed in C:\node_modules to intercept the runtime's module resolution search path, causing applications like Discord to execute attacker-controlled JavaScript code in the context of the application process high llm
T1068
Exploitation for Privilege Escalation
 Privilege Escalation CVE-2026-0776 and CVE-2026-0775 are exploited by low-privileged users on Windows to achieve local privilege escalation by hijacking Node.js module resolution in applications such as Discord and npm CLI that run with higher privileges high llm
T1036.005
Match Legitimate Name or Location
 Defense Evasion Attacker-controlled malicious packages are named to match legitimate optional or missing dependency package names and placed in C:\node_modules, causing them to be transparently loaded by the target Node.js application without detection medium llm
ESC