PT-2022-6672 · Npm+6 · Npm+6

Publicado

2022-06-02

·

Atualizado

2025-09-29

·

CVE-2022-29244

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do npm de 7.9.0 a 7.13.0
Versão 7.13.0 do npm e anteriores
Descrição
O problema está relacionado ao fato de o comando npm pack ignorar as diretivas de exclusão dos arquivos .gitignore e .npmignore no diretório raiz quando executado em um espaço de trabalho ou com um sinalizador de espaço de trabalho. Isso pode ter feito com que usuários publicassem arquivos no registro do npm que não pretendiam incluir. O problema está associado à divulgação de informações.
Recomendações
Para as versões do npm 7.9.0 a 7.13.0, atualize para a versão mais recente e corrigida do npm v8.11.0 executando: npm i -g npm@latest.
Para usuários das versões v16.15.1, v17.19.1 e v18.3.0 do Node.js, nenhuma ação adicional é necessária, pois essas versões já incluem a versão corrigida v8.11.0 do npm.

Exploit

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200

Identificadores relacionados

ALSA-2022:6595
ALSA-2022_6595
ALSA-2025_16880
ALT-PU-2022-2225
BDU:2023-03309
CVE-2022-29244
GHSA-HJ9C-8JMM-8C52
OPENSUSE-SU-2022_3250-1
OPENSUSE-SU-2022_3251-1
OPENSUSE-SU-2024:12280-1
RHSA-2022:6595
RHSA-2022_6595
RLSA-2022:6595
SUSE-SU-2022:3196-1
SUSE-SU-2022:3250-1
SUSE-SU-2022:3251-1
SUSE-SU-2022_3196-1
SUSE-SU-2022_3250-1
SUSE-SU-2022_3251-1

Produtos afetados

Alt Linux
Almalinux
Red Hat
Red Os
Rocky Linux
Suse
Npm