 fox
II/IDEC networks :: lor-opennet.17 :: / Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
|
Login |
[#]
Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
Новостной_робот(mira, 1) — All
2022-04-29 20:00:02
В репозитории пакетов NPM выявлена проблема с безопасностью, позволяющая владельцу пакета добавить в число сопровождающих любого пользователя, без получения от этого пользователя согласия и без информирования о совершённом действии. Проблема усугубляется тем, что после добавления стороннего пользователя в число сопровождающих, изначальный автор пакета мог удалить себя из списка сопровождающих и сторонний пользователь оставался единственным лицом, отвечающим за пакет.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=57108
Новостной_робот(mira, 1) — All
2022-04-29 20:00:02
В репозитории пакетов NPM выявлена проблема с безопасностью, позволяющая владельцу пакета добавить в число сопровождающих любого пользователя, без получения от этого пользователя согласия и без информирования о совершённом действии. Проблема усугубляется тем, что после добавления стороннего пользователя в число сопровождающих, изначальный автор пакета мог удалить себя из списка сопровождающих и сторонний пользователь оставался единственным лицом, отвечающим за пакет.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=57108