CVE-2021-41150

Versões do tough anteriores à 0.12.0

A biblioteca tough não sanitiza adequadamente os nomes de funções delegadas ao armazenar em cache um repositório ou ao carregá-lo a partir do sistema de arquivos. Isso pode fazer com que arquivos com a extensão .json sejam sobrescritos com metadados de funções em qualquer ponto do sistema. A vulnerabilidade é mitigada pelo fato de que afeta apenas implementações que permitem a seleção arbitrária de nomes de funções para metadados de alvos delegados, e o ataque requer a capacidade de inserir novos metadados para a função de traversal de caminho e obter a função delegada por metadados de alvos existentes. O conteúdo do arquivo gravado é fortemente restrito, pois precisa ser um arquivo de alvos válido e assinado, e a extensão do arquivo é sempre .json.

Para versões anteriores à 0.12.0, atualize para a versão 0.12.0 ou mais recente para resolver o problema. Como solução alternativa temporária, considere restringir o conjunto de caracteres permitido para nomes de funções ou armazenar metadados em arquivos nomeados de forma que não sejam vulneráveis, embora essas abordagens exijam alterações no código.