Alerta de Vulnerabilidades - Netmask NPM
Foi identificada uma vulnerabilidade no pacote da Netmask que permite aos atacantes executarem um conjunto de ataques remotamente devido à validação inadequada dos octetos IPv4.
Caso o IPv4 seja mal validado, pode permitir que um endereço IP externo seja interpretado como um IP da rede local.[1][2][3]
A exploração bem sucedida desta vulnerabilidade, permite que um atacante remotamente e não autenticado possa realizar ataques de SSRF (Server-side request forgery), RFI (Remote file inclusion) e LFI (Local File inclusion).
Os utilizadores da versões afetadas devem atualizar as aplicações para a sua versão mais recente. [4]
[1] https://www.securityweek.com/vulnerability-netmask-npm-package-affects-280000-projects
[2] https://portswigger.net/daily-swig/ssrf-vulnerability-in-npm-package-netmask-impacts-up-to-279k-projects
[3] https://github.com/sickcodes/security/blob/master/advisories/SICK-2021-011.md
[4] https://www.npmjs.com/package/netmask