آسیب‌پذیری در NPM که اجازه می‌دهد فایل‌های دلخواه در حین نصب بسته اصلاح شوند

در به روز رسانی مدیریت بسته NPM 6.13.4 که در توزیع Node.js گنجانده شده و برای توزیع ماژول ها به زبان جاوا اسکریپت استفاده می شود، حذف شده است سه آسیب پذیری (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777) که به فایل های سیستم دلخواه اجازه می دهد هنگام نصب بسته ای که توسط مهاجم تهیه شده است، تغییر یا بازنویسی شوند. به عنوان یک راه حل برای محافظت، می توانید آن را با گزینه "-ignore-scripts" نصب کنید، که اجرای بسته های هندلر داخلی را ممنوع می کند. توسعه دهندگان NPM بسته های موجود در مخزن را تجزیه و تحلیل کردند و هیچ اثری از مشکلات شناسایی شده که برای انجام حملات مورد استفاده قرار می گیرند، پیدا نکردند.

CVE-2019-16777 ظاهر شد در نسخه های قبل از 6.13.4 و به شما امکان می دهد فایل های اجرایی سیستم را در حین نصب بسته جهانی بازنویسی کنید. شما فقط می توانید فایل ها را در دایرکتوری هدف که در آن فایل های اجرایی نصب شده اند جایگزین کنید (معمولا /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 در نسخه‌های قبل از 6.13.3 ظاهر می‌شود و به شما امکان می‌دهد با ایجاد یک پیوند نمادین به فایل‌های خارج از فهرست با ماژول‌ها (node_modules) یا با دستکاری فیلد bin در package.json یک فایل دلخواه بنویسید (مسیرهایی با "/../" در قسمت bin مجاز است).

منبع: opennet.ru