taschenbierHallo liebes @bsi könnt ihr mir mal kurz erklären wie es zu Punkt 2.2 (CVE-2023-40582) in eurem Tageslagebericht vom 01.09. kam?
Es geht hier nicht um eine Schwachstelle "in" GitHub, sondern um ein random mini npm Paket was nur ~3k weekly Downloads hat und auch sonst keine erkennbare Relevanz - außerdem ist das Advisory auch nicht "von" GitHub sondern "auf" GitHub, entsprechend ist die Empfehlung auch nicht "von" GitHub - wieso landet sowas in eurem Tagesbericht - oder was übersehe ich hier?
Es geht hier nicht um eine Schwachstelle "in" GitHub, sondern um ein random mini npm Paket was nur ~3k weekly Downloads hat und auch sonst keine erkennbare Relevanz - außerdem ist das Advisory auch nicht "von" GitHub sondern "auf" GitHub, entsprechend ist die Empfehlung auch nicht "von" GitHub - wieso landet sowas in eurem Tagesbericht - oder was übersehe ich hier?
BSI