Te whakaraeraetanga i roto i te NPM e taea ai te whakarereke i nga konae i te wa e whakauruhia ana nga kete

I roto i te whakahou o te kaiwhakahaere putea NPM 6.13.4, i whakauruhia ki te tohatoha Node.js me te whakamahi ki te tohatoha i nga waahanga i roto i te reo JavaScript, whakakorea e toru nga whakaraeraetanga (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), ka taea te whakarereke, te tuhirua ranei i nga konae punaha i te wa e whakauru ana i tetahi kete kua whakaritea e te tangata whakaeke. Hei mahi whakamarumaru, ka taea e koe te whakauru me te "-ignore-scripts" kōwhiringa, e aukati ana i te mahia o nga kohinga kaihautu i hangaia. I tātarihia e nga kaiwhakawhanake NPM nga kohinga e waatea ana i roto i te putunga karekau i kitea he tohu o nga raru kua tautuhia e whakamahia ana hei whakaeke i nga whakaeke.

CVE-2019-16777 puta i roto i nga tukunga i mua i te 6.13.4 ka taea e koe te tuhirua i nga konae ka taea te whakahaere i te punaha i te wa o te whakaurunga aa-ao. Ka taea noa e koe te whakakapi i nga konae kei roto i te raarangi whaainga kei reira nga konae ka taea te whakauru (ko te tikanga /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 puta i roto i nga tukunga i mua i te 6.13.3 ka taea e koe te tuhi i tetahi konae koretake ma te hanga hononga tohu ki nga konae kei waho o te raarangi me nga kōwae (node_modules) ma te raweke ranei i te mara bin i package.json (nga ara me te "/../" i whakaaetia i roto i te parae bin).

Source: opennet.ru