PT-2020-16355 · Npm · Semantic-Release
Dbjorge
·
Publicado
2020-11-18
·
Atualizado
2020-12-09
·
CVE-2020-26226
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do semantic-release anteriores à 17.2.3
Descrição
O problema diz respeito à divulgação acidental de segredos no pacote npm semantic-release. Segredos que contêm caracteres que são codificados quando incluídos em uma URL podem ser divulgados, enquanto segredos sem esses caracteres são mascarados corretamente.
Recomendações
Para versões anteriores à 17.2.3, atualize para a versão 17.2.3 para resolver o problema. Como solução temporária, considere evitar o uso de segredos que contenham caracteres que sejam codificados quando incluídos em uma URL até que a atualização seja aplicada.
Correção
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Semantic-Release