CVE-2021-43616

**Nome do software vulnerável e versões afetadas:

Versões do npm de 7.x a 8.1.3

Descrição:

O comando npm ci prossegue com a instalação mesmo que as informações de dependências no package-lock.json sejam diferentes das do package.json, o que é inconsistente com a documentação. Esse comportamento facilita que invasores instalem malware que deveria ter sido bloqueado por um requisito de correspondência exata de versão no package-lock.json. A equipe do npm acredita que isso não seja uma vulnerabilidade, pois exigiria que alguém realizasse engenharia social no package.json, que possui dependências diferentes do package-lock.json, e esse usuário teria que ter acesso ao sistema de arquivos ou permissão de gravação para alterar as dependências.

Recomendações:

Para as versões do npm 7.x a 8.1.3, considere restringir o acesso ao comando npm ci até que um patch esteja disponível e certifique-se de que package.json e package-lock.json sejam tratados com cautela para evitar possíveis ataques de engenharia social. Como solução temporária, verifique manualmente as dependências em package-lock.json e package.json antes de prosseguir com a instalação. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esse problema.