Vulnerabilidad en Airtable.js (CVE-2022-46155)

Airtable.js es el cliente JavaScript para Airtable. Antes de la versión 0.11.6, Airtable.js tenía un script de compilación mal configurado en su paquete fuente. Cuando se ejecuta el script de compilación, agrupará variables de entorno en el destino de compilación de un paquete transpilado. Específicamente, las variables de entorno AIRTABLE_API_KEY y AIRTABLE_ENDPOINT_URL se insertan durante las compilaciones de Browserify debido a que se hace referencia a ellas en el código Airtable.js. Esto solo afecta a las copias de Airtable.js creadas desde su fuente, no a las instaladas mediante npm o Yarn. ¿Claves API de Airtable configuradas en los usuarios? Los entornos a través de la variable de entorno AIRTABLE_API_KEY se pueden incluir en copias locales del código fuente de Airtable.js si se cumplen todas las condiciones siguientes: <br /> 1) el usuario ha clonado el código fuente de Airtable.js en su máquina, <br /> 2) el usuario ejecuta el script `npm prepare`, y <br /> 3) el usuario tiene configurada la variable de entorno AIRTABLE_API_KEY. <br /> Si se cumplen estas condiciones, la compilación local de Airtable.js de un usuario se modificaría para incluir el valor de la variable de entorno AIRTABLE_API_KEY, que luego podría enviarse accidentalmente en el código incluido. Los usuarios que no cumplan con estas tres condiciones no se verán afectados por este problema. Los usuarios deben actualizar a Airtable.js versión 0.11.6 o superior; o, como workaround, desactive la variable de entorno AIRTABLE_API_KEY en su shell y/o elimínela de sus archivos de configuración .bashrc, .zshrc u otros archivos de configuración de shell. Los usuarios también deben volver a generar cualquier clave API de Airtable que utilicen, ya que la clave puede estar presente en el código incluido.