NPM 6.13.4 パッケージ マネージャーの更新では、Node.js ディストリビューションに含まれており、JavaScript 言語でモジュールを配布するために使用されます。 XNUMX つの脆弱性 (, и ) を使用すると、攻撃者が用意したパッケージをインストールするときに、任意のシステム ファイルが変更または上書きされる可能性があります。 保護の回避策として、組み込みハンドラー パッケージの実行を禁止する「-ignore-scripts」オプションを使用してインストールできます。 NPM 開発者は、リポジトリで利用可能なパッケージを分析したところ、特定された問題が攻撃の実行に使用された形跡は見つかりませんでした。
CVE-2019-16777 6.13.4 より前のリリースでは、グローバル パッケージのインストール中にシステム実行可能ファイルを上書きできます。 実行可能ファイルがインストールされているターゲット ディレクトリ (通常は /usr/local/bin) 内のファイルのみを置き換えることができます。
и 6.13.3 より前のリリースに登場し、モジュール (node_modules) を含むディレクトリ外のファイルへのシンボリック リンクを作成するか、package.json の bin フィールドを操作することによって、任意のファイルを書き込むことができます (「/../」を含むパスはbin フィールドでは許可されます)。
出所: オープンネット.ru
