Уразлівасць у NPM, якая дазваляе змяніць адвольныя файлы пры ўсталёўцы пакета
У абнаўленні пакетнага мэнэджара NPM 6.13.4, уваходнага ў пастаўку Node.js і ўжывальнага для распаўсюджвання модуляў на мове JavaScript, тры ўразлівасці (, и ), якія дазваляюць мадыфікаваць ці перазапісаць адвольныя сістэмныя файлы пры ўсталёўцы пакета, падрыхтаванага зламыснікам. У якасці абыходнага шляху абароны можа быць усталёўка з опцыяй «-ignore-scripts», забараняльнай выкананне ўбудаваных пакеты апрацоўшчыкаў. Распрацоўнікі NPM прааналізавалі наяўныя ў рэпазітары пакеты і не знайшлі слядоў выкарыстання выяўленых праблем для здзяйснення нападаў.
CVE-2019-16777 у выпусках да 6.13.4 і дазваляе перазапісаць сістэмныя выкананыя файлы падчас глабальнай усталёўкі пакета. Падмяніць можна толькі файлы ў мэтавым каталогу, куды ўсталёўваюцца выкананыя файлы (звычайна /usr/local/bin).
и выяўляюцца ў выпусках да 6.13.3 і дазваляюць запісаць адвольны файл праз стварэнне сімвалічнай спасылкі на файлы па-за каталогам з модулямі (node_modules) або праз маніпуляцыі з полем bin у package.json (у поле bin дапушчалася выкарыстанне шляхоў з «/../») .
