В NPM 7.3 добавлена возможность установки или извлечения разом нескольких параметров конфигурации через команду «npm config». Например, теперь можно использовать команды подобные «npm config get foo bar baz» и «npm config set email=me@example.com _auth=xxxx». Кроме того, в команде «npm rebuild» реализована поддержка указания файловых путей в качестве аргумента в командной строке (например, «npm rebuild ./node_modules/foo/»).
Дополнительно можно отметить уязвимость (CVE-2020-26274) в npm-пакете systeminformation, насчитывающем почти 800 тысяч еженедельных загрузок. Проблема устранена в выпуске 4.31.1. Уязвимость была вызвана неполной проверкой строки в функции sanitizeShellString(), применяемой при запуске shell-команд. Проблема позволяла осуществить подстановку своих команд в командную строку при выполнении операции inetLatency через подстановку символов ««» в в имени хоста, который передавался без должного экранирования в качестве аргумента при запуске утилиты «ping».
Источник: http://www.opennet.ru/opennews/art.shtml?num=54293