Die Microsoft-Tochter Github, Betreiberin des JavaScript-Paketregisters NPM, meldet eine gravierende Sicherheitslücke in NPM: Mindestens seit September 2020 konnten NPM-Benutzer nach ihrer Anmeldung aufgrund eines Bugs neue Versionen beliebiger Pakete hochladen. Wie Githubs Chief Security Officer Mike Hanley in einem Blogbeitrag erklärt, haben Kajetan Grzybowski and Maciej Piechota die Lücke im Rahmen des Security Bug Bounty Program entdeckt. Sie wurde mit hoher Wahrscheinlichkeit nicht ausgenutzt, solange sich das über das eigene Monitoring nachweisen lässt. Allerdings reicht das nur bis September 2020 zurück, und die Lücke besteht bereits länger – wie lange genau, sagt Hanley nicht.
