Vulnerabilidad en snyk (CVE-2022-22984)

El paquete snyk antes de 1.1064.0; el paquete snyk-mvn-plugin anterior a 2.31.3; el paquete snyk-gradle-plugin anterior a 3.24.5; el paquete @snyk/snyk-cocoapods-plugin anterior a 2.5.3; el paquete snyk-sbt-plugin anterior a 2.16.2; el paquete snyk-python-plugin anterior a 1.24.2; el paquete snyk-docker-plugin anterior a 5.6.5; el paquete @snyk/snyk-hex-plugin anterior a 1.1.6 es vulnerable a la inyección de comandos debido a una solución incompleta para [CVE-2022-40764](https://security.snyk.io/vuln/SNYK-JS-SNYK -3037342). Un exploit exitoso permite a los atacantes ejecutar comandos arbitrarios en el sistema host donde está instalada la CLI de Snyk al pasar indicadores de línea de comando manipulado. Para aprovechar esta vulnerabilidad, un usuario tendría que ejecutar el comando snyk test en archivos que no sean de confianza. En la mayoría de los casos, un atacante posicionado para controlar los argumentos de la línea de comandos de la CLI de Snyk ya estaría posicionado para ejecutar comandos arbitrarios. Sin embargo, se podría abusar de esto en escenarios específicos, como canales de integración continua, donde los desarrolladores pueden controlar los argumentos pasados ??a la CLI de Snyk para aprovechar este componente como parte de un ataque más amplio contra un canal de integración/compilación. Este problema se solucionó en las últimas imágenes de Snyk Docker disponibles en https://hub.docker.com/r/snyk/snyk a partir del 29 de noviembre de 2022. Las imágenes descargadas y creadas antes de esa fecha deben actualizarse. El problema también se solucionó en el complemento Snyk TeamCity CI/CD a partir de la versión v20221130.093605.