CVE-2020-28429

**Nome do software vulnerável e versões afetadas:

Versões do geojson2kml anteriores à 0.1.1

Descrição:

A vulnerabilidade está relacionada à injeção de comando por meio do arquivo index.js no pacote geojson2kml. É fornecido um exemplo de exploração utilizando a função require para executar um comando, especificamente var a = require(“geojson2kml”); a(“./”, “& touch JHU”, function(){}). Isso demonstra como um invasor poderia potencialmente injetar comandos maliciosos.

Recomendações:

Para versões anteriores à 0.1.1, considere desativar a funcionalidade vulnerável no arquivo index.js como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à função require com o pacote geojson2kml para minimizar o risco de exploração. Evite usar a função a com entradas não confiáveis no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.