Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Snyk (CVE-2025-4759)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/05/2025
Última modificación:
03/06/2025

Descripción

Las versiones del paquete lockfile-lint-api anteriores a 5.9.2 son vulnerables a Orden de comportamiento incorrecto: validación temprana a través del atributo resuelto de la validación de URL del paquete, que se puede omitir extendiendo el nombre del paquete, lo que permite que un atacante instale otros paquetes npm distintos al deseado.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:lirantal:lockfile-lint-api:*:*:*:*:*:node.js:*:* 5.9.2 (excluyendo)