Буманы орнату кезінде ерікті файлдарды өзгертуге мүмкіндік беретін NPM осалдығы
Node.js дистрибутивіне енгізілген және JavaScript тілінде модульдерді тарату үшін пайдаланылатын NPM 6.13.4 пакет менеджерінің жаңартуында, үш осалдық (, и ), бұл шабуылдаушы дайындаған буманы орнату кезінде еркін жүйелік файлдарды өзгертуге немесе қайта жазуға мүмкіндік береді. Қорғаудың уақытша шешімі ретінде оны кірістірілген өңдегіш пакеттерін орындауға тыйым салатын «-ignore-scripts» опциясымен орнатуға болады. NPM әзірлеушілері репозиторийде қолжетімді пакеттерді талдап, шабуылдарды жүзеге асыру үшін пайдаланылатын анықталған ақаулардың іздерін таппады.
CVE-2019-16777 6.13.4 нұсқасына дейінгі шығарылымдарда және жаһандық буманы орнату кезінде жүйелік орындалатын файлдарды қайта жазуға мүмкіндік береді. Орындалатын файлдар орнатылған мақсатты каталогтағы файлдарды ғана ауыстыруға болады (әдетте /usr/local/bin).
и 6.13.3 нұсқасына дейінгі шығарылымдарда пайда болады және модульдері бар (node_modules) каталогтан тыс файлдарға символдық сілтеме жасау немесе package.json ішіндегі қалта өрісін өңдеу арқылы ерікті файлды жазуға мүмкіндік береді («/../» бар жолдар болды). қоқыс жәшігінде рұқсат етілген).
