CVE-2021-21412

Versões do @thi.ng/egf anteriores à 0.4.0

O problema diz respeito à execução de código arbitrário em valores de propriedade marcados com #gpg quando a opção decrypt: true está ativada. Isso é relevante apenas quando valores criptografados com GPG são usados ou exigidos, já que as funções de análise do EGF não tentam descriptografar valores por padrão devido à indisponibilidade do GPG em ambientes de navegador.

Para versões anteriores à 0.4.0, atualize para a versão 0.4.0 ou posterior para resolver o problema.

Como solução alternativa temporária, considere realizar uma pesquisa com expressão regular por valores marcados com #gpg no arquivo/string de origem do EGF e verifique se há caracteres de backtick (`) na string do valor criptografado; em seguida, substitua-os ou remova-os, ou ignore a análise se estiverem presentes.