Eine Sicherheitsanfälligkeit, die es ermöglichte, ein Update für jedes Paket im NPM-Repository zu veröffentlichen
Das Unternehmen GitHub hat Informationen zu zwei Vorfällen in der Infrastruktur des NPM-Paketrepositories veröffentlicht. Am 2. November berichteten externe Sicherheitsexperten (Kajetan Grzybowski und Maciej Piechota) im Rahmen des Bug-Bounty-Programms von einer Sicherheitsanfälligkeit im NPM-Repository, die es ermöglichte, eine neue Version eines Pakets zu veröffentlichen, indem man dafür ein Konto verwendete, das nicht für solche Updates autorisiert war. Die Sicherheitsanfälligkeit wurde verursacht durch […]
