CVE-2021-24105

**Nome do software vulnerável e versões afetadas:

Versões do Bundler de 1.16.0 a 2.2.9

Versões do Bundler de 2.2.11 a 2.2.17

Python/pip (versões afetadas não especificadas)

.NET/NuGet (versões afetadas não especificadas)

Java/Maven (versões afetadas não especificadas)

JavaScript/npm (versões afetadas não especificadas)

Descrição:

A vulnerabilidade permite que um invasor insira um pacote malicioso no repositório de um gerenciador de pacotes, o que pode levar à execução remota de código. Isso pode afetar vários gerenciadores de pacotes em diferentes linguagens. Um invasor pode criar um pacote malicioso com um número de versão alto e publicá-lo em um repositório público, fazendo com que máquinas vulneráveis o baixem e instalem. O ataque pode ocorrer em vários níveis, incluindo máquinas de desenvolvedores, equipes, pipelines de integração contínua e clientes. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado.

Recomendações:

Para as versões 1.16.0 a 2.2.9 e 2.2.11 a 2.2.17 do Bundler, reconfigure as ferramentas de instalação e os fluxos de trabalho para priorizar gems privadas em detrimento das públicas.

Para Python/pip, reconfigure o gerenciador de pacotes para evitar confusão de dependências.

Para .NET/NuGet, reconfigure o gerenciador de pacotes para evitar confusão de dependências.

Para Java/Maven, reconfigure o gerenciador de pacotes para evitar confusão de dependências.

Para JavaScript/npm, reconfigure o gerenciador de pacotes para evitar confusão de dependências.

Como solução temporária, considere restringir o acesso a repositórios de pacotes públicos até