Страница 1 из 1
Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
Добавлено: 29 апр 2022, 17:30
[Ботя]
В репозитории пакетов NPM выявлена проблема с безопасностью, позволяющая владельцу пакета добавить в число сопровождающих любого пользователя, без получения от этого пользователя согласия и без информирования о совершённом действии. Проблема усугубляется тем, что после добавления стороннего пользователя в число сопровождающих, изначальный автор пакета мог удалить себя из списка сопровождающих и сторонний пользователь оставался единственным лицом, отвечающим за пакет.
Подробнее...