NPM pažeidžiamumas, leidžiantis modifikuoti bet kokius failus diegiant paketą
Atnaujinus NPM 6.13.4 paketų tvarkyklę, įtrauktą į Node.js platinimą ir naudojamą moduliams platinti JavaScript kalba, trys pažeidžiamumai (, и ), kuri leidžia modifikuoti arba perrašyti savavališkus sistemos failus diegiant užpuoliko parengtą paketą. Norėdami apsaugoti, galite jį įdiegti naudodami parinktį „-ignore-scripts“, kuri draudžia vykdyti integruotų tvarkyklių paketus. NPM kūrėjai išanalizavo saugykloje esančius paketus ir nerado jokių nustatytų problemų, naudojamų atakoms vykdyti, pėdsakų.
CVE-2019-16777 leidimuose iki 6.13.4 ir leidžia perrašyti sistemos vykdomuosius failus diegiant visuotinį paketą. Failus galite pakeisti tik tiksliniame kataloge, kuriame yra įdiegti vykdomieji failai (paprastai /usr/local/bin).
и rodomi leidimuose iki 6.13.3 ir leidžia parašyti savavališką failą sukuriant simbolinę nuorodą į failus, esančius už katalogo ribų su moduliais (node_modules) arba manipuliuojant paketo laukeliu pakete.json (keliai su „/../“ buvo leidžiama šiukšliadėžės lauke).
