PT-2020-21401 · Npm · Electorn+1
Publicado
2020-10-01
·
Atualizado
2020-10-01
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
loadyaml (versões afetadas não especificadas)
electorn (versões afetadas não especificadas)
Descrição
O problema diz respeito a código malicioso em pacotes do npm. Após a instalação, os pacotes executam um script de pré-instalação que expõe informações confidenciais, incluindo endereço IP e geolocalização baseada no IP, nome do diretório home e nome de usuário local, ao publicar um comentário público no GitHub. Os pacotes maliciosos foram removidos do registro do npm, e o conteúdo vazado foi removido do GitHub.
Recomendações
Para o loadyaml, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Para o electorn, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Electorn
Loadyaml