Goby 漏洞安全通告｜ NestJS DevTools /inspector/graph/interact 命令执行漏洞（CVE-2025-54782）

漏洞名称：NestJS DevTools /inspector/graph/interact 命令执行漏洞（CVE-2025-54782）

English Name：NestJS DevTools /inspector/graph/interact Command Execution Vulnerability (CVE-2025-54782)

CVSS core:
9.4

风险等级：
高风险

漏洞描述：
NestJS DevTools 是一个用于构建可扩展 Node.js 应用程序的流行开发工具集。其 /inspector/graph/interact 接口存在远程代码执行漏洞（CVE-2025-54782）。攻击者可以通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令，可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。
该漏洞允许攻击者通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令，可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。

FOFA自检语句：
header=“devtools.nestjs.com” && body=“for the request”

受影响版本:
version <0.2.1

漏洞检测工具：
【Goby】-资产绘测及实战化漏洞扫描工具，实战漏洞验证效果如图所示（标准版及企业版已支持检测）：

查看Goby更多漏洞：Goby历史漏洞合集