Npm · Netmask · CVE-2021-28918
**Nome do software vulnerável e versões afetadas:
Pacote npm netmask, versões 1.0.6 e anteriores
Pacote npm netmask, versões 2.0.0
Descrição:
O problema está relacionado à validação inadequada de strings octais no pacote npm netmask, permitindo que invasores remotos não autenticados realizem ataques de falsificação de solicitação do lado do servidor (SSRF), inclusão remota de arquivos (RFI) e inclusão local de arquivos (LFI). Essa vulnerabilidade pode ser explorada para contornar pacotes que dependem do netmask para filtrar IPs e acessar hosts críticos de VPN ou LAN. O pacote netmask é utilizado por mais de 270.000 projetos e tem cerca de 3 milhões de downloads por semana.
Recomendações:
Para as versões 1.0.6 e anteriores do pacote npm netmask: atualize para a versão 2.0.1 ou posterior para garantir proteção completa contra esta vulnerabilidade.
Para a versão 2.0.0 do pacote npm netmask: atualize para a versão 2.0.1 ou posterior, pois a correção inicial na versão 2.0.0 estava incompleta.