PT-2020-2799 · Npm · Npm-Programmatic
Publicado
2020-04-01
·
Atualizado
2021-07-21
·
CVE-2020-7614
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do npm-programmatic de 0.0.0 a 0.0.12
Todas as versões do npm-programmatic estão afetadas, mas, como um intervalo foi especificado, priorizamos o intervalo fornecido pela Mitre.
Descrição
O problema está relacionado à injeção de comando no pacote npm-programmatic. Os pacotes e as propriedades das opções são concatenados sem validação e usados diretamente pela função ‘exec’, permitindo que um invasor execute código arbitrário enviando um pacote malicioso especialmente criado. Isso pode permitir que invasores executem código arbitrário no sistema se o nome do pacote passado para a função for controlado pelo usuário.
Recomendações
Para as versões 0.0.0 a 0.0.12 do npm-programmatic, considere usar um pacote alternativo até que uma correção seja disponibilizada.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Npm-Programmatic