PT-2022-20489 · Npm · Semantic-Release
Dmosen
·
Publicado
2022-06-09
·
Atualizado
2022-06-17
·
CVE-2022-31051
CVSS v2.0
5.0
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do semantic-release anteriores à 19.0.3
Descrição
O problema diz respeito à divulgação acidental de segredos no semantic-release, um pacote npm de código aberto para gerenciamento automatizado de versões e publicação de pacotes. Segredos que normalmente seriam mascarados pelo semantic-release podem ser divulgados se contiverem caracteres excluídos da codificação URI pela função
encodeURI. Essa ocorrência se limita a contextos de execução em que o acesso de push ao repositório relacionado requer a modificação da URL do repositório para injetar credenciais.Recomendações
Para versões anteriores à 19.0.3, atualize para a versão 19.0.3 para resolver o problema.
Como solução alternativa temporária para usuários que não possam atualizar, certifique-se de que segredos sem caracteres excluídos da codificação com
encodeURI quando incluídos em uma URL já estejam mascarados corretamente.Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Semantic-Release