Katalog CVE

CVE-2026-42089

WysokieCVSS 8.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Yeoman Environment w wersjach od 2.9.0 do 6.0.0 instaluje brakujące lokalne pakiety generatorów z nazw pakietów dostarczonych przez użytkownika bez potwierdzenia. Może to prowadzić do nieautoryzowanej instalacji pakietów i wykonania kodu w przypadku, gdy atakujący kontroluje konfigurację projektu.

Ocena ryzyka

Organizacje mogą być narażone na ryzyko nieautoryzowanego dostępu i wykonania złośliwego kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji 6.0.0 lub nowszej, aby usunąć tę podatność oraz weryfikację i ograniczenie dostępu do konfiguracji projektów.

Oryginalny opis (angielski, źródło NVD)

Yeoman Environment provides an API to discover, create, and run generators, and to configure where and how a generator is resolved. Versions 2.9.0 through 6.0.0 install missing local generator packages from caller-supplied package names without user confirmation. In downstream consumers that pass attacker-controlled project configuration into this path, this can result in arbitrary package installation and code execution during CLI bootstrap. The vulnerable method is installLocalGenerators(), which calls repository.install() directly without prompting the user. This issue has been fixed in version 6.0.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS