PT-2020-21260 · Node · Requests

Publicado

2020-09-02

·

Atualizado

2020-09-02

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
requets (versões afetadas não especificadas)
Descrição
O pacote requets é uma versão criada por meio de typosquatting de um pacote popular com nome semelhante. Ele rastreia usuários que instalaram o pacote incorreto e envia informações para um servidor remoto, incluindo o nome do pacote baixado, o nome do pacote pretendido, a versão do Node e se o processo está sendo executado como sudo. Não há outros riscos.
Recomendações
Remova o pacote requets de suas dependências.
Certifique-se sempre de que os nomes dos pacotes sejam digitados corretamente durante a instalação.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-506

Identificadores relacionados

GHSA-F3PC-C2GF-HVGW

Produtos afetados

Requests