PT-2024-27335 · Deno · Deno
Bartlomieju
·
Publicado
2024-06-06
·
Atualizado
2024-12-17
·
CVE-2024-37150
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
Deno versão 1.44.0
Descrição
Foi descoberta uma falha no suporte a
.npmrc, na qual o Deno enviava as credenciais .npmrc para o escopo da URL do tarball quando o registro fornecia URLs para um tarball em um domínio diferente. Todos os usuários que dependem do .npmrc estão potencialmente afetados por essa falha se o registro privado deles fizer referência a URLs de tarballs em um domínio diferente. Isso inclui o uso do subcomando deno install, a instalação automática para especificadores npm: e o uso de LSP.Recomendações
Para resolver o problema, atualize para o Deno 1.44.1. Se o seu registro privado alguma vez servir tarballs em um domínio diferente, altere as credenciais do seu registro. Como solução temporária, considere restringir o acesso ao arquivo
.npmrc para minimizar o risco de exploração.Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Deno