Un package NPM qui propose aux développeurs un moyen de lutter contre les failles CSRF n'étais pas correctement conçu et du coup rendait possible des failles CSRF.

Autre chose, le package utilisait aussi SHA1 qui est déprécié..

L'article décrit le fonctionnement de la vulnérabilité.