प्रोहोस्टर > ब्लॉग > इंटरनेट समाचार > एनपीएम में भेद्यता जो पैकेज स्थापना के दौरान मनमानी फ़ाइलों को संशोधित करने की अनुमति देती है
एनपीएम में भेद्यता जो पैकेज स्थापना के दौरान मनमानी फ़ाइलों को संशोधित करने की अनुमति देती है
В обновлении пакетного менеджера NPM 6.13.4, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript, तीन कमजोरियाँ (, и ), позволяющие модифицировать или перезаписать произвольные системные файлы при установке пакета, подготовленного злоумышленником. В качестве обходного пути защиты может быть установка с опцией «—ignore-scripts», запрещающей выполнение встроенных пакеты обработчиков. Разработчики NPM проанализировали имеющиеся в репозитории пакеты и не нашли следов использования выявленных проблем для совершения атак.
CVE-2019-16777 в выпусках до 6.13.4 и позволяет перезаписать системные исполняемые файлы в процессе глобальной установки пакета. Подменить можно только файлы в целевом каталоге, куда устанавливаются исполняемые файлы (обычно /usr/local/bin).
и проявляются в выпусках до 6.13.3 и позволяют записать произвольный файл через создание символической ссылки на файлы вне каталога с модулями (node_modules) или через манипуляции с полем bin в package.json (в поле bin допускалось использование путей с «/../»).
