PT-2020-21091 · Node · Request

Publicado

2020-09-02

·

Atualizado

2020-09-02

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
requesst (versões afetadas não especificadas)
Descrição
O pacote requesst é uma versão criada por meio de typosquatting de um pacote popular com nome semelhante. Ele rastreia usuários que instalaram o pacote incorreto e envia informações para um servidor remoto, incluindo o nome do pacote baixado, o nome do pacote pretendido, a versão do Node e se o processo está sendo executado como sudo. Não há outros riscos.
Recomendações
Remova o pacote requesst de suas dependências e certifique-se de que os nomes dos pacotes sejam digitados corretamente durante a instalação.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-506

Identificadores relacionados

GHSA-6C37-2RW5-9J7X

Produtos afetados

Request