PT-2026-45224 — Insufficient Verification of Data Authenticity em Npm @Hulumi/Drift

PT-2026-45224 · Npm · @Hulumi/Drift

Publicado

2026-05-21

Atualizado

2026-05-21

CVSS v4.0

8.7

Alta

Vetor

AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

Impact: @hulumi/drift versions before 1.3.2 could accept externally supplied execute plans without sufficient provenance checks, allowing unsafe reconciliation input to be treated as trusted.

Patched in 1.3.2: execute-plan handling now validates provenance and rejects untrusted plans, with regression coverage.

Remediation: upgrade @hulumi/drift to 1.3.2 or later.

Correção

Insufficient Verification of Data Authenticity

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-345

Identificadores relacionados

GHSA-2FFM-HXRQ-QQMM

Produtos afetados

@Hulumi/Drift

PT-2026-45224 · Npm · @Hulumi/Drift

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 3