Vulnerabilitat en NPM que permet modificar fitxers arbitraris durant la instal·lació del paquet

En l'actualització del gestor de paquets NPM 6.13.4, inclòs a la distribució Node.js i utilitzat per distribuir mòduls en llenguatge JavaScript, eliminat tres vulnerabilitats (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), que permet modificar o sobreescriure fitxers arbitraris del sistema quan s'instal·la un paquet preparat per un atacant. Com a solució alternativa per a la protecció, podeu instal·lar-lo amb l'opció "-ignore-scripts", que prohibeix l'execució de paquets de controladors integrats. Els desenvolupadors de NPM van analitzar els paquets disponibles al repositori i no van trobar rastres dels problemes identificats que s'utilitzaven per dur a terme atacs.

CVE-2019-16777 apareix en versions anteriors a la 6.13.4 i us permet sobreescriure els fitxers executables del sistema durant la instal·lació global del paquet. Només podeu substituir fitxers al directori de destinació on estan instal·lats els fitxers executables (normalment /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 apareixen en versions anteriors a la 6.13.3 i us permeten escriure un fitxer arbitrari creant un enllaç simbòlic a fitxers fora del directori amb mòduls (node_modules) o manipulant el camp bin a package.json (els camins amb "/../" eren permès al camp de la paperera).

Font: opennet.ru