PT-2020-20984 · Npm · Electorn+1
Publicado
2020-10-01
·
Atualizado
2020-10-01
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
loadyaml (versões afetadas não especificadas)
electorn (versões afetadas não especificadas)
Descrição
O problema diz respeito a código malicioso em pacotes do npm. Após a instalação, os pacotes executam um script de pré-instalação que publica um comentário público no GitHub, vazando informações confidenciais, incluindo endereço IP e geolocalização baseada no IP, nome do diretório home e nome de usuário local.
Recomendações
Para o loadyaml, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Para o electorn, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Electorn
Loadyaml