Paketeen instalazioan fitxategi arbitrarioak aldatzea ahalbidetzen duen NPMn ahultasuna
NPM 6.13.4 pakete-kudeatzailearen eguneratzean, Node.js banaketan sartuta eta JavaScript hizkuntzan moduluak banatzeko erabiltzen dena, hiru ahultasun (, ΠΈ ), sistemaren fitxategi arbitrarioak aldatzeko edo gainidazteko aukera ematen du erasotzaile batek prestatutako pakete bat instalatzean. Babeserako konponbide gisa, "-ignore-scripts" aukerarekin instala dezakezu, integratutako kudeatzaile-paketeen exekuzioa debekatzen duena. NPM garatzaileek biltegian eskuragarri dauden paketeak aztertu zituzten eta ez zuten aurkitu erasoak egiteko erabiltzen ari ziren arazoen arrastorik.
CVE-2019-16777 6.13.4 aurreko bertsioetan eta sistemaren fitxategi exekutagarriak gainidazteko aukera ematen dizu pakete globalaren instalazioan. Fitxategi exekutagarriak instalatuta dauden helburuko direktorioko fitxategiak soilik ordez ditzakezu (normalean /usr/local/bin).
ΠΈ 6.13.3 aurreko bertsioetan agertzen dira eta fitxategi arbitrario bat idazteko aukera ematen dizu moduluekin direktoriotik kanpoko fitxategietara esteka sinboliko bat sortuz (node_modules) edo package.json-eko bin eremua manipulatuz ("/../" duten bideak ziren). edukiontziaren eremuan baimenduta).
