Npm · @Graphql-Tools/Git-Loader · CVE-2021-23326
**Nome do software vulnerável e versões afetadas**
Versões do @graphql-tools/git-loader anteriores à 6.2.6
**Descrição**
A vulnerabilidade permite a injeção de comandos arbitrários devido ao uso de `exec` e `execSync` no arquivo `load-git.ts`. Isso decorre do design do pacote, que permite que um invasor injete comandos maliciosos.
**Recomendações**
Para versões anteriores à 6.2.6, atualize para a versão 6.2.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo `load-git.ts` ou desativar o uso das funções `exec` e `execSync` até que um patch seja aplicado.