Versões do moment-timezone de 0.1.0 a 0.5.34

O problema diz respeito a vulnerabilidades de injeção de comando no moment-timezone. Um invasor pode executar comandos arbitrários no sistema que executa a tarefa grunt com os mesmos privilégios da tarefa grunt. Isso pode ocorrer quando um terceiro tem permissão para especificar a versão do moment-timezone a ser compilada. Os scripts tasks/data-download.js, tasks/data-zdump.js e tasks/data-zic.js são vulneráveis à injeção de comando. Por exemplo, um invasor pode influenciar a linha de comando fornecendo conteúdo adicional, como grunt ‘data-download:2014d ; echo flag>/tmp/foo #’, permitindo-lhe executar código arbitrário. O script tasks/data-zdump.js lê uma lista de arquivos de um diretório temporário e executa uma linha de comando sem sanitização, permitindo que um invasor obtenha execução de código ao influenciar o conteúdo desse diretório. O script tasks/data-zic.js obtém uma versão da linha de comando e a utiliza como parte de uma linha de comando, executada sem sanitização, permitindo que um invasor execute comandos arbitrários.

Para as versões 0.1.0 a 0.5.34 do moment-timezone, aplique o patch fornecido que altera exec para execFile para impedir que fragmentos arbitrários de bash sejam executados. Como solução temporária, considere desativar a tarefa grunt até que um patch esteja disponível. Restrinja o acesso aos arquivos tasks/data-download.js, tasks/data-zdump.js e `t