Die Microsoft-Tochter Github, Betreiberin des JavaScript-Paketregisters NPM, meldet eine gravierende Sicherheitslücke in NPM: Mindestens seit September 2020 konnten NPM-Benutzer nach ihrer Anmeldung aufgrund eines Bugs neue Versionen beliebiger Pakete hochladen.
Wie Githubs Chief Security Officer Mike Hanley in einem Blogbeitrag erklärt, haben Kajetan Grzybowski and Maciej Piechota die Lücke im Rahmen des Security Bug Bounty Program entdeckt.
