Icatalinao

**Nome do software vulnerável e versões afetadas: Versões do npm de 7.x a 8.1.3 Descrição: O comando `npm ci` prossegue com a instalação mesmo que as informações de dependências no `package-lock.json` sejam diferentes das do `package.json`, o que é inconsistente com a documentação. Esse comportamento facilita que invasores instalem malware que deveria ter sido bloqueado por um requisito de correspondência exata de versão no `package-lock.json`. A equipe do npm acredita que isso não seja uma vulnerabilidade, pois exigiria que alguém realizasse engenharia social no `package.json`, que possui dependências diferentes do `package-lock.json`, e esse usuário teria que ter acesso ao sistema de arquivos ou permissão de gravação para alterar as dependências. Recomendações: Para as versões do npm 7.x a 8.1.3, considere restringir o acesso ao comando `npm ci` até que um patch esteja disponível e certifique-se de que `package.json` e `package-lock.json` sejam tratados com cautela para evitar possíveis ataques de engenharia social. Como solução temporária, verifique manualmente as dependências em `package-lock.json` e `package.json` antes de prosseguir com a instalação. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esse problema.