ProHoster > blog > notizie internet > Vulnerabilità in NPM che consente la modifica di file arbitrari durante l'installazione del pacchetto
Vulnerabilità in NPM che consente la modifica di file arbitrari durante l'installazione del pacchetto
Nell'aggiornamento del gestore pacchetti NPM 6.13.4, incluso nella distribuzione Node.js e utilizzato per distribuire moduli nel linguaggio JavaScript, eliminato tre vulnerabilità (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), che consente di modificare o sovrascrivere file di sistema arbitrari durante l'installazione di un pacchetto preparato da un utente malintenzionato. Come soluzione alternativa alla protezione, è possibile installarlo con l'opzione "-ignore-scripts", che vieta l'esecuzione dei pacchetti di gestione integrati. Gli sviluppatori di NPM hanno analizzato i pacchetti disponibili nel repository e non hanno trovato tracce dei problemi identificati utilizzati per sferrare attacchi.
CVE-2019-16777 si manifesta nelle versioni precedenti alla 6.13.4 e consente di sovrascrivere i file eseguibili del sistema durante l'installazione del pacchetto globale. È possibile sostituire solo i file nella directory di destinazione in cui sono installati i file eseguibili (solitamente /usr/local/bin).
CVE-2019-16775 и CVE-2019-16776 compaiono nelle versioni precedenti alla 6.13.3 e consentono di scrivere un file arbitrario creando un collegamento simbolico a file esterni alla directory con moduli (node_modules) o manipolando il campo bin in package.json (i percorsi con "/../" erano consentito nel campo bin).