Vulnerabilidade en NPM que permite modificar ficheiros arbitrarios durante a instalación do paquete

Na actualización do xestor de paquetes NPM 6.13.4, incluído na distribución Node.js e usado para distribuír módulos en linguaxe JavaScript, eliminado tres vulnerabilidades (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), que permite modificar ou sobrescribir ficheiros de sistema arbitrarios ao instalar un paquete preparado por un atacante. Como solución alternativa para a protección, pode instalalo coa opción "-ignore-scripts", que prohibe a execución de paquetes de controladores incorporados. Os desenvolvedores de NPM analizaron os paquetes dispoñibles no repositorio e non atoparon rastros dos problemas identificados que se utilizaban para realizar ataques.

CVE-2019-16777 aparece nas versións anteriores á 6.13.4 e permítelle sobrescribir os ficheiros executables do sistema durante a instalación global do paquete. Só pode substituír ficheiros no directorio de destino onde están instalados os ficheiros executables (normalmente /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 aparecen en versións anteriores á 6.13.3 e permiten escribir un ficheiro arbitrario creando unha ligazón simbólica a ficheiros fóra do directorio con módulos (node_modules) ou manipulando o campo bin en package.json (as rutas con "/../" foron permitido no campo da papeleira).

Fonte: opennet.ru