Vulnerabilidad en NPM que permite modificar archivos arbitrarios durante la instalación del paquete

En la actualización del administrador de paquetes NPM 6.13.4, incluido en la distribución Node.js y utilizado para distribuir módulos en el lenguaje JavaScript, eliminado tres vulnerabilidades (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), que permite modificar o sobrescribir archivos arbitrarios del sistema al instalar un paquete preparado por un atacante. Como solución alternativa para la protección, puede instalarlo con la opción “-ignore-scripts”, que prohíbe la ejecución de paquetes de controladores integrados. Los desarrolladores de NPM analizaron los paquetes disponibles en el repositorio y no encontraron rastros de los problemas identificados utilizados para llevar a cabo los ataques.

CVE-2019-16777 проявляется en versiones anteriores a 6.13.4 y le permite sobrescribir archivos ejecutables del sistema durante la instalación global del paquete. Sólo puede reemplazar archivos en el directorio de destino donde están instalados los archivos ejecutables (normalmente /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 aparecen en versiones anteriores a la 6.13.3 y le permiten escribir un archivo arbitrario creando un enlace simbólico a archivos fuera del directorio con módulos (node_modules) o manipulando el campo bin en package.json (las rutas con "/../" eran permitido en el campo bin).

Fuente: opennet.ru