Donttrytofindme

**Nome do Software Vulnerável e Versões Afetadas** esm.sh versões 137 e anteriores **Description** Um problema de Inclusão de Arquivo Local (LFI) existe no processamento do campo `browser` dentro do arquivo `package.json` pelo plugin esbuild. Um invasor pode publicar um pacote npm malicioso que utiliza sequências `../` no campo `browser` para remapear caminhos de módulos. Como o plugin não realiza uma segunda verificação de validação após esse remapeamento, o servidor pode ser forçado a ler e retornar arquivos arbitrários do sistema de arquivos do host durante o processo de build. Esses arquivos podem aparecer na saída do JavaScript empacotado ou na matriz `sourcesContent` do mapa de origem. O impacto inclui a exposição potencial de arquivos sensíveis, como o arquivo `config.json`, que pode conter credenciais de armazenamento S3 e tokens de autenticação do registro npm. **Recommendations** Atualize para uma versão posterior à 137. Como mitigação temporária, restrinja o uso do campo `browser` no `package.json` para pacotes npm não confiáveis.