PT-2022-19504 · Npm · Sharp
Dwisiswant0
·
Publicado
2022-05-25
·
Atualizado
2023-06-28
·
CVE-2022-29256
CVSS v3.1
6.5
Média
| Vetor | AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do sharp anteriores à 0.30.5
Descrição
O problema está relacionado a uma possível vulnerabilidade na lógica executada apenas durante o comando
npm install ao instalar versões do sharp anteriores à versão mais recente, v0.30.5. Se um invasor tiver a capacidade de definir o valor da variável de ambiente PKG CONFIG PATH em um ambiente de compilação, ele poderá usar isso para injetar um comando arbitrário durante a execução do npm install. Isso não faz parte de nenhum código de tempo de execução, não afeta de forma alguma os usuários do Windows e é improvável que afete qualquer pessoa que já se preocupe com a segurança de seu ambiente de compilação.Recomendações
Para versões do sharp anteriores à 0.30.5, atualize para a versão 0.30.5 para resolver o problema. Como solução temporária, considere restringir o acesso à variável de ambiente
PKG CONFIG PATH no ambiente de compilação para minimizar o risco de exploração.Exploit
Correção
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sharp