GitHub singularia septem vulnerabilitates in bitumine et @npmcli/arboristis fasciculis patefecit, quae munera ad operandum in archivis bituminis et de dependentiae arbore in Node.js colligendis praebent. Vulnerabilitates permittunt, cum fasciculum archivum speciale designatum exsolvant, rescribere fasciculos extra presul radicem, in quae fasciculus exercetur, quoad iura accessus currentis patitur. Problemata efficiunt ut exsecutionem Codicis arbitrarii in systematis instituere, exempli gratia, addendo mandata ad ~/.bashrc vel ~/.profile cum operatio ab usuario gratuito exercetur, vel reponens fasciculi systematis currenti ut radix.
Periculum vulnerabilium aggravatur ex eo quod problematicum codicem in npm sarcina procuratori adhibetur cum operationes npm fasciculorum exercens, quae efficit ut impetum in utentes instituere sinat, ponendo sarcinam in reposito specialiter designatam npm, processus. de quibus in codicem oppugnatoris facient ratio. Impetum fieri potest etiam cum fasciculis insertis in modum "-ignore-scripti", qui exsecutionem in scriptis aedificatam disablet. In summa, npm quattuor vulnerabilitates afficit (CVE-2021-32804, CVE-2021-37713, CVE-2021-39134 et CVE-2021-39135) e septem. Duo prima problemata spectant sarcinam bitumen, reliquae duae ad sarcinam @npmcli/arboristam pertinent.
Periculosissima vulnerabilitas, CVE-2021-32804, causatur ex eo quod, cum vias absolutas in tabulario pice definitas purgando, characteres perperam "/" repetitos discursum esse β prima tantum indoles tollitur, ceterae relinquuntur. Exempli gratia, semita "/home/user/.bashrc" convertetur ad "home/user/.bashrc" et iter "//home/user/.bashrc" ad "/home/user/.bashrc". Secunda vulnerabilitas, CVE-2021-37713, tantum in Fenestra suggestu apparet et cum recta purgatione viae relativae coniungitur quae characterem indefinitum coegi ("C:aliquam\") et sequentia ut ad priorem directorium regrediatur (" "C:../foo") .
Vulnerabilitates CVE-2021-39134 et CVE-2021-39135 specificae sunt ad moduli @npmcli/arboristae. Prima quaestio tantum apparet in systematibus quae non distinguunt casus characterum in systematis tabellario (macOS et Windows), et permittit te scribere lima partem arbitrariam ratio limae duos modulorum "foo" inter clientelas definiendo. : "file:/some/path" et "FOO: "file:foo.tgz", processus cuius inducet ad delenda contenta /some/path directorii et scribendo contenta foo.tgz ad eam. Secunda quaestio permittit tabellas scribendas esse per nexus symbolicas manipulationes.
Laxationes in Node.js solvunt 12.22.6 et 14.17.6, npm CLI 6.14.15 et 7.21.0, et singula sarcinis bituminis emittunt 4.4.19, 5.0.11, et 6.1.10. Recepta de problemate parte "bug largitatis" incepti, GitHub investigatores $14500 solvit et contenta repositorii lustravit, quod conatus ad vulnerabilitates uti non ostendit. Ad has quaestiones tuendas, GitHub etiam vetuit fasciculos NPM evulgare qui symbolicas nexus, duros nexus includunt, et semitas absolutas repositorio includunt.
Source: opennet.ru