ProHoster > Blog > nutizie internet > Vulnerabilità in NPM chì permette di mudificà i schedarii arbitrarii durante a stallazione di u pacchettu
Vulnerabilità in NPM chì permette di mudificà i schedarii arbitrarii durante a stallazione di u pacchettu
In l'aghjurnamentu di u gestore di pacchetti NPM 6.13.4, inclusu in a distribuzione Node.js è utilizatu per distribuisce moduli in lingua JavaScript, trè vulnerabilità (, и ), chì permette à i schedarii di u sistema arbitrariu per esse mudificati o soprascritti quandu si stallanu un pacchettu preparatu da un attaccu. Cum'è una soluzione per a prutezzione, pudete installà cù l'opzione "-ignore-scripts", chì pruibisce l'esekzione di pacchetti di gestori integrati. I sviluppatori di NPM anu analizatu i pacchetti dispunibuli in u repository è ùn anu trovu traccia di i prublemi identificati utilizati per fà attacchi.
CVE-2019-16777 in versioni prima di 6.13.4 è vi permette di rimpiazzà i fugliali eseguibili di u sistema durante a stallazione di u pacchettu globale. Pudete solu rimpiazzà i fugliali in u cartulare di destinazione induve i fugliali eseguibili sò stallati (in solitu /usr/local/bin).
и appariscenu in versioni prima di 6.13.3 è permettenu di scrive un schedariu arbitrariu creendu un ligame simbolicu à i schedari fora di u cartulare cù moduli (node_modules) o manipulendu u campu bin in package.json (percorsi cù "/../" eranu permessu in u campu di bin).
Adupremu i fugliali crustaper assicurà a megliu sperienza nant'à u nostru situ web. Continuendu à aduprà u situ, accunsentite à a nostra pulitica di privacy.Per accettà
Cumprate un hosting affidabile per i siti cù prutezzione DDoS, servitori VPS VDS🔥 Cumprate un hosting di siti web affidabile cù prutezzione DDoS, servitori VPS VDS | ProHoster
