js · @cyclonedx/cyclonedx-npmCrítico
@cyclonedx/cyclonedx-npm: command injection via --workspace com npm_execpath vazio
Vulnerabilidade de injeção de comando no @cyclonedx/cyclonedx-npm ao usar a opção --workspace com a variável de ambiente npm_execpath não definida ou vazia.
O que mudou
Vulnerabilidade de injeção de comando no @cyclonedx/cyclonedx-npm ao usar a opção --workspace com a variável de ambiente npm_execpath não definida ou vazia.
Quem isso afeta
Usuários do @cyclonedx/cyclonedx-npm que invocam a CLI com --workspace <valor> e têm npm_execpath não definido ou vazio.
O que fazer hoje
Atualize para a versão 5.0.0 ou superior, ou defina a variável de ambiente npm_execpath antes de invocar a ferramenta.
A esteira
Coletado→
Auditado→
Redigido→
Publicado