Zehfbûna di NPM-ê de ku dihêle pelên keyfî di dema sazkirina pakêtê de werin guheztin

Di nûvekirina rêveberê pakêtê ya NPM 6.13.4 de, ku di belavkirina Node.js de ye û ji bo belavkirina modulan bi zimanê JavaScript-ê tê bikar anîn, tasfiye kirin sê qelsî (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), ku destûrê dide pelên pergalê yên kêfî ku dema ku pakêtek ku ji hêla êrîşkar ve hatî amadekirin were guheztin an jî were nivîsandin. Wekî çareyek ji bo parastinê, hûn dikarin wê bi vebijarka "-ignore-scripts" saz bikin, ku cîbicîkirina pakêtên hilkêşker ên çêkirî qedexe dike. Pêşdebirên NPM pakêtên ku di depoyê de hene analîz kirin û ti şopên pirsgirêkên naskirî yên ku ji bo pêkanîna êrîşan têne bikar anîn nedîtin.

CVE-2019-16777 xuya dike di weşanên berî 6.13.4-ê de û dihêle hûn di dema sazkirina pakêtê ya gerdûnî de pelên bikêrhatî yên pergalê binivîsînin. Hûn dikarin tenê pelên di pelrêça mebestê de ku pelên îcrakar lê hatine saz kirin biguhezînin (bi gelemperî /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 di weşanên berî 6.13.3-ê de xuya dike û dihêle hûn bi çêkirina girêdanek sembolîk ji pelên li derveyî pelrêçê re bi modulan (node_modules) an jî bi manîpulekirina qada bin di pakêtê.json de pelek kêfî binivîsin (rêyên bi "/../" bûn. destûr li zeviyê bin).

Source: opennet.ru