Vulnerabilità in NPM che consente la modifica di file arbitrari durante l'installazione del pacchetto

Nell'aggiornamento del gestore pacchetti NPM 6.13.4, incluso nella distribuzione Node.js e utilizzato per distribuire moduli nel linguaggio JavaScript, eliminato tre vulnerabilità (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), che consente di modificare o sovrascrivere file di sistema arbitrari durante l'installazione di un pacchetto preparato da un utente malintenzionato. Come soluzione alternativa alla protezione, è possibile installarlo con l'opzione "-ignore-scripts", che vieta l'esecuzione dei pacchetti di gestione integrati. Gli sviluppatori di NPM hanno analizzato i pacchetti disponibili nel repository e non hanno trovato tracce dei problemi identificati utilizzati per sferrare attacchi.

CVE-2019-16777 si manifesta nelle versioni precedenti alla 6.13.4 e consente di sovrascrivere i file eseguibili del sistema durante l'installazione del pacchetto globale. È possibile sostituire solo i file nella directory di destinazione in cui sono installati i file eseguibili (solitamente /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 compaiono nelle versioni precedenti alla 6.13.3 e consentono di scrivere un file arbitrario creando un collegamento simbolico a file esterni alla directory con moduli (node_modules) o manipolando il campo bin in package.json (i percorsi con "/../" erano consentito nel campo bin).

Fonte: opennet.ru