ProHoster > Blog > noticias de internet > Vulnerabilidad en NPM que permite modificar archivos arbitrarios durante la instalación del paquete
Vulnerabilidad en NPM que permite modificar archivos arbitrarios durante la instalación del paquete
En la actualización del administrador de paquetes NPM 6.13.4, incluido en la distribución Node.js y utilizado para distribuir módulos en el lenguaje JavaScript, eliminado tres vulnerabilidades (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), que permite modificar o sobrescribir archivos arbitrarios del sistema al instalar un paquete preparado por un atacante. Como solución alternativa para la protección, puede instalarlo con la opción “-ignore-scripts”, que prohíbe la ejecución de paquetes de controladores integrados. Los desarrolladores de NPM analizaron los paquetes disponibles en el repositorio y no encontraron rastros de los problemas identificados utilizados para llevar a cabo los ataques.
CVE-2019-16777 проявляется en versiones anteriores a 6.13.4 y le permite sobrescribir archivos ejecutables del sistema durante la instalación global del paquete. Sólo puede reemplazar archivos en el directorio de destino donde están instalados los archivos ejecutables (normalmente /usr/local/bin).
CVE-2019-16775 и CVE-2019-16776 aparecen en versiones anteriores a la 6.13.3 y le permiten escribir un archivo arbitrario creando un enlace simbólico a archivos fuera del directorio con módulos (node_modules) o manipulando el campo bin en package.json (las rutas con "/../" eran permitido en el campo bin).