CVE-2022-0841

Versões do npm-lockfile anteriores à 2.0.5

O problema diz respeito a uma vulnerabilidade de injeção de comando no sistema operacional. Ela é causada pela falta de sanitização de entradas externas, levando à invocação de APIs de execução de comandos confidenciais com entradas não seguras. Isso resulta em injeção de comando. Uma correção foi lançada na versão 2.0.5.

Para versões anteriores à 2.0.5, atualize para a versão 2.0.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do comando npm-lockfile até que um patch seja aplicado. Evite usar entradas externas não sanitizadas no comando npm-lockfile até que o problema seja resolvido.