CVE-2022-29244
npm packing does not respect root-level ignore files in workspaces
Em resumo
Ao usar npm pack ou publish em um workspace, o npm ignora arquivos .gitignore e .npmignore no nível raiz, podendo incluir arquivos sensíveis não intencionais nos pacotes publicados. Isso pode expor credenciais ou dados privados no registro público npm.
Detalhe técnico
Vulnerabilidade CWE-200 de exposição de informações afetando npm v7.9.0+ e v7.13.0+ em modo workspace. Os comandos pack/publish não respeitam diretivas de exclusão no nível raiz (.gitignore, .npmignore) quando flags de workspace são usadas, contornando filtros. Atacantes ou fluxos comprometidos podem explorar para publicar arquivos sensíveis no registro npm.
Resumo gerado e traduzido por IA a partir da descrição oficial.
npm pack ignores root-level .gitignore and .npmignore file exclusion directives when run in a workspace or with a workspace flag (ie. `--workspaces`, `--workspace=<name>`). Anyone who has run `npm pack` or `npm publish` inside a workspace, as of v7.9.0 and v7.13.0 respectively, may be affected and have published files into the npm registry they did not intend to include. Users should upgrade to the latest, patched version of npm v8.11.0, run: npm i -g npm@latest . Node.js versions v16.15.1, v17.19.1, and v18.3.0 include the patched v8.11.0 version of npm.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
npm · npmQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/nodejs/node/pull/43210https://github.com/nodejs/node/releases/tag/v16.15.1https://github.com/nodejs/node/releases/tag/v17.9.1https://github.com/nodejs/node/releases/tag/v18.3.0https://github.com/npm/cli/releases/tag/v8.11.0https://github.com/npm/cli/security/advisories/GHSA-hj9c-8jmm-8c52https://github.com/npm/cli/tree/latest/workspaces/libnpmpackhttps://github.com/npm/cli/tree/latest/workspaces/libnpmpublishhttps://github.com/npm/npm-packlisthttps://security.netapp.com/advisory/ntap-20220722-0007/