Npm · Lockfile-Lint-Api · CVE-2025-4759
Nome do Software Vulnerável e Versões Afetadas:
lockfile-lint-api versões anteriores à 5.9.2
Descrição:
O problema envolve uma ordem de comportamento incorreta, especificamente validação prematura, através do atributo `resolved` na validação da URL do pacote. Isso pode ser contornado mediante a extensão do nome do pacote, permitindo que um atacante instale outros pacotes npm diferentes do pretendido.
Recomendações:
Para versões anteriores à 5.9.2, atualize para a versão 5.9.2 ou posterior para resolver o problema. Como medida de contorno temporária, considere restringir as instalações de pacotes apenas àqueles que são explicitamente pretendidos, para minimizar o risco de exploração.