CVE-2026-10796: nvm führt Befehle aus Mirror-Daten aus

Der Node Version Manager — kurz nvm — steckt auf Millionen Entwickler-Rechnern und in unzähligen CI-Pipelines. Jetzt zeigt eine frisch veröffentlichte Schwachstelle, wie schnell aus dem praktischen Helfer ein Einfallstor wird: CVE-2026-10796, publiziert am 4. Juni, betrifft nvm bis einschließlich Version 0.40.4. Der Kern des Problems: nvm führt unter Umständen beliebige Befehle aus, die in Versions-Strings stecken — geliefert vom konfigurierten Node.js-Mirror.

SO funktioniert der Angriff

nvm fragt beim Installieren einer Node-Version den konfigurierten Mirror nach der Liste verfügbarer Versionen. Diese Antwort wird intern weiterverarbeitet — und genau dort liegt die Lücke: Die Versions-Strings werden nicht ausreichend bereinigt, bevor sie in Shell-Kommandos landen. Ein bösartiger oder kompromittierter Mirror kann also in seine Versions-Liste Shell-Fragmente einschleusen, die beim nächsten nvm install auf deinem Rechner ausgeführt werden — mit DEINEN Rechten.

Brisant wird das in drei Szenarien: Erstens bei Firmen- und CI-Setups, die per NVM_NODEJS_ORG_MIRROR auf interne oder regionale Spiegel zeigen. Zweitens in Netzen, in denen ein Angreifer Traffic umleiten kann. Drittens bei kopierten Dotfiles und Docker-Images, in denen längst vergessene Mirror-Variablen schlummern.

SO prüfst du dein System in 2 Minuten

Schritt 1: nvm --version — alles bis 0.40.4 gilt als betroffen. Schritt 2: env | grep -i mirror — taucht dort ein Mirror auf, den du nicht bewusst gesetzt hast, entfernen oder verifizieren. Schritt 3: Auf die korrigierte nvm-Version updaten, sobald sie über das offizielle Repo verteilt wird, und CI-Images neu bauen. Wer ganz sicher gehen will, pinnt Node-Versionen und prüft Checksummen der heruntergeladenen Binaries.

EXTRA-TIPP: Auch die zweite Lücke kennen

Im Umfeld von nvm wurde zuvor bereits CVE-2026-1665 dokumentiert — dort konnte die Umgebungsvariable NVM_AUTH_HEADER über einen eval-basierten wget-Aufruf missbraucht werden. Das Muster ist dasselbe: Shell-Skripte, die fremde Eingaben zu sorglos zusammensetzen. Wer nvm nutzt, sollte beide Advisories im Blick behalten.

FAZIT: Vertraue keinem Mirror blind

Die Lücke ist kein Massen-GAU — sie braucht einen manipulierten Mirror. Aber genau solche Supply-Chain-Pfade sind 2026 DAS Lieblingsziel von Angreifern. Zwei Minuten Prüfaufwand sind gut investiert.

Häufige Fragen

Welche Versionen sind betroffen?

Betroffen ist nvm bis einschließlich Version 0.40.4. Die Schwachstelle CVE-2026-10796 wurde am 4. Juni 2026 veröffentlicht. Prüfe deine Version mit nvm –version und update, sobald eine korrigierte Version über das offizielle GitHub-Repo verfügbar ist.

Wie merke ich, ob mein System verwundbar ist?

Kritisch bist du, wenn du einen alternativen Node-Mirror nutzt — prüfe mit env | grep -i mirror, ob Variablen wie NVM_NODEJS_ORG_MIRROR gesetzt sind. Auch CI-Konfigurationen, Dockerfiles und geteilte Dotfiles solltest du durchsuchen. Wer ausschließlich den offiziellen Mirror nutzt, hat ein deutlich geringeres Risiko.

Wie behebe ich das Problem konkret?

Entferne nicht verifizierte Mirror-Variablen, aktualisiere nvm auf die korrigierte Version und baue CI-Images neu, die eine betroffene Version einbacken. In Firmenumgebungen: internen Mirror auf Integrität prüfen, bevor er weiter genutzt wird.

Gab es schon aktive Angriffe?

Bislang sind keine bestätigten Angriffe über diese Lücke öffentlich dokumentiert. Da der Angriff einen kontrollierten Mirror voraussetzt, ist Massenausnutzung unwahrscheinlich — gezielte Supply-Chain-Angriffe auf Firmen-Setups sind aber genau das Szenario, vor dem Sicherheitsforscher hier warnen.

Quellen: NVD (CVE-2026-10796) · Snyk: nvm vulnerabilities · nvm auf GitHub

ENTWICKLER-FALLE! Dein nvm führt fremde Befehle aus — ein vergifteter Mirror reicht für die Übernahme