GitHub corrige vulnerabilidade que atingia todos os módulos do registro NPM

GitHub corrige vulnerabilidade que atingia todos os módulos do registro NPM

A falha permitia a publicação de novas versões de qualquer módulo utilizando uma conta sem a devida autorização. Todos os módulos publicados antes de setembro de 2020 podem ter sido comprometidos. Os pesquisadores de segurança Kajetan Grzybowski e Maciej Piechota descobriram a vulnerabilidade no começo deste mês, que foi corrigida apenas em seis horas pelo GitHub. As informações são do site The Register.

Essa discrepância forneceu um meio pelo qual as solicitações de publicação de novas versões de um pacote seriam autorizadas para um pacote, mas na verdade seriam executadas para um pacote diferente e potencialmente não autorizado.

Mike Hanley – Chefe de Segurança GitHub

Fonte: https://www.theregister.com