ʻO ka vulnerability i ka NPM e hiki ai ke hoʻololi i nā faila arbitrary i ka wā e hoʻokomo ai i ka pūʻolo

Ma ka hōʻano hou o ka NPM 6.13.4 pūʻolo manakia, i hoʻokomo ʻia i loko o ka hāʻawi Node.js a hoʻohana ʻia e puʻunaue i nā modules ma ka ʻōlelo JavaScript, hoopauia ʻekolu mau nāwaliwali (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), ka mea e hiki ai ke hoʻololi a i ʻole ke kākau ʻia ʻana o nā faila ʻōnaehana arbitrary i ka wā e hoʻokomo ai i kahi pūʻolo i hoʻomākaukau ʻia e ka mea hoʻouka. Ma ke ʻano he hana no ka pale ʻana, hiki iā ʻoe ke hoʻokomo iā ia me ke koho "-ignore-scripts", ka mea e pāpā ai i ka hoʻokō ʻana i nā pūʻolo lima i kūkulu ʻia. Ua kālailai nā mea hoʻomohala NPM i nā pūʻolo i loaʻa i loko o ka waihona a ʻaʻole i loaʻa nā ʻāpana o nā pilikia i ʻike ʻia e hoʻohana ʻia ana e hoʻokō i nā hoʻouka kaua.

CVE-2019-16777 hōʻikeʻia i nā hoʻokuʻu ma mua o 6.13.4 a hiki iā ʻoe ke kākau i nā faila hiki ke hoʻokō ʻia i ka wā o ka hoʻokomo ʻana i ka pōʻai honua. Hiki iā ʻoe ke hoʻololi wale i nā faila i ka papa kuhikuhi kuhikuhi kahi i hoʻokomo ʻia ai nā faila hoʻokō (maʻamau / usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 ʻike ʻia i nā hoʻokuʻu ma mua o 6.13.3 a ʻae iā ʻoe e kākau i kahi faila ma ka hana ʻana i kahi loulou hōʻailona i nā faila ma waho o ka papa kuhikuhi me nā modules (node_modules) a i ʻole ma ka hoʻopunipuni ʻana i ka māla bin ma package.json (nā ala me "/../" ʻo ia. ʻae ʻia ma ke kahua bin).

Source: opennet.ru