В Bun до версии 1.3.5 список доверенных зависимостей по умолчанию (также известный как список разрешений доверия) может быть подделан пакетом, отличным от npm, в случае соответствующего имени (для файла, ссылки, git или github).
Показать оригинальное описание (английский)
In Bun before 1.3.5, the default trusted dependencies list (aka trust allow list) can be spoofed by a non-npm package in the case of a matching name (for file, link, git, or github).
Матрица атаки
Вектор атаки
Локальный
Локальный доступ
Сложность атаки
Высокая
Сложно эксплуатировать
Требуемые привилегии
Не требуются
Права не нужны
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Нет
Нет утечки данных
Влияние на целостность
Высокое
Полная модификация
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N