Microsoft · Nuget · CVE-2021-24105
**Nome do software vulnerável e versões afetadas:
Versões do Bundler de 1.16.0 a 2.2.9
Versões do Bundler de 2.2.11 a 2.2.17
Python/pip (versões afetadas não especificadas)
.NET/NuGet (versões afetadas não especificadas)
Java/Maven (versões afetadas não especificadas)
JavaScript/npm (versões afetadas não especificadas)
Descrição:
A vulnerabilidade permite que um invasor insira um pacote malicioso no repositório de um gerenciador de pacotes, o que pode levar à execução remota de código. Isso pode afetar vários gerenciadores de pacotes em diferentes linguagens. Um invasor pode criar um pacote malicioso com um número de versão alto e publicá-lo em um repositório público, fazendo com que máquinas vulneráveis o baixem e instalem. O ataque pode ocorrer em vários níveis, incluindo máquinas de desenvolvedores, equipes, pipelines de integração contínua e clientes. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado.
Recomendações:
Para as versões 1.16.0 a 2.2.9 e 2.2.11 a 2.2.17 do Bundler, reconfigure as ferramentas de instalação e os fluxos de trabalho para priorizar gems privadas em detrimento das públicas.
Para Python/pip, reconfigure o gerenciador de pacotes para evitar confusão de dependências.
Para .NET/NuGet, reconfigure o gerenciador de pacotes para evitar confusão de dependências.
Para Java/Maven, reconfigure o gerenciador de pacotes para evitar confusão de dependências.
Para JavaScript/npm, reconfigure o gerenciador de pacotes para evitar confusão de dependências.
Como solução temporária, considere restringir o acesso a repositórios de pacotes públicos até