NPM-i haavatavus, mis võimaldab paketi installimise ajal suvalisi faile muuta
NPM 6.13.4 paketihalduri värskenduses, mis sisaldub Node.js distributsioonis ja mida kasutatakse JavaScripti keeles moodulite levitamiseks, kolm haavatavust (, и ), mis võimaldab ründaja koostatud paketi installimisel suvalisi süsteemifaile muuta või üle kirjutada. Kaitse parandamise lahendusena saate selle installida suvandiga "-ignore-scripts", mis keelab sisseehitatud käitlejapakettide täitmise. NPM-i arendajad analüüsisid hoidlas saadaolevaid pakette ega leidnud ühtegi jälge tuvastatud probleemidest, mida oleks kasutatud rünnete läbiviimiseks.
CVE-2019-16777 versioonides 6.13.4 ja võimaldab teil globaalse paketi installimise ajal süsteemi käivitatavaid faile üle kirjutada. Saate asendada faile ainult sihtkataloogis, kuhu käivitatavad failid on installitud (tavaliselt /usr/local/bin).
и ilmuvad väljaannetes enne versiooni 6.13.3 ja võimaldavad kirjutada suvalise faili, luues sümboolse lingi moodulitega kataloogist väljapoole jäävatele failidele (node_modules) või manipuleerides faili package.json prügikasti väljaga (teed märgiga "/../" olid lubatud prügikasti väljale) .
