Tomibelan

**Nome do software vulnerável e versões afetadas** pkg (versões afetadas não especificadas) **Descrição** O problema decorre do fato de a ferramenta pkg gravar pacotes de código nativo em um diretório predefinido, especificamente `/tmp/pkg/*` em sistemas Unix, que é um diretório compartilhado por todos os usuários no mesmo sistema local. Os nomes dos pacotes dentro desse diretório são previsíveis e carecem de exclusividade, permitindo que um invasor com acesso ao mesmo sistema local substitua executáveis genuínos por executáveis maliciosos com o mesmo nome. Um usuário pode então, sem saber, executar o executável malicioso. O pacote pkg está obsoleto e, como resultado, nenhum patch será fornecido para este problema. Recomenda-se que os usuários migrem para alternativas mantidas ativamente, como investigar o suporte do Node.js 21 para aplicativos de executável único. **Recomendações** Para verificar se o seu executável compilado pelo pkg depende de código nativo e está vulnerável, execute o executável e verifique se `/tmp/pkg/` foi criado. Os usuários devem migrar para alternativas mantidas ativamente. Investigue o suporte do Node.js 21 para aplicativos executáveis únicos. Priorize a migração para outros pacotes que ofereçam funcionalidade semelhante com segurança aprimorada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.