NPM 6.13.4 хувилбарын шинэчлэлтэд багц менежер нь Node.js-д багтсан бөгөөд JavaScript модулиудыг түгээхэд ашиглагдаж байсан. гурван эмзэг байдал (, и ), хортойгоор бүтээгдсэн багц суулгах үед дурын системийн файлуудыг өөрчлөх эсвэл дарж бичих боломжийг олгодог. Тойрог зам нь суулгасан багц боловсруулагчдыг ажиллуулахаас сэргийлдэг "--ignore-scripts" сонголтоор суулгах явдал юм. NPM хөгжүүлэгчид репозитор дахь багцуудыг шинжилж, тодорхойлсон эмзэг байдлыг халдлагад ашигласан нотолгоо олдсонгүй.
CVE-2019-16777 6.13.4 хувилбараас өмнөх хувилбаруудад энэ функц нь танд дэлхийн багц суулгах явцад системийн гүйцэтгэгдэх файлуудыг дарж бичих боломжийг олгодог. Зөвхөн гүйцэтгэгдэх файлууд суулгагдсан зорилтот сан дахь файлуудыг (ихэвчлэн /usr/local/bin) дарж бичих боломжтой. и 6.13.3 хувилбараас өмнөх хувилбаруудад гарч ирэх бөгөөд модулиудтай (node_modules) санд байгаа файлуудтай симбол холбоос үүсгэх эсвэл package.json файл дахь bin талбарыг өөрчлөх замаар дурын файл бичихийг зөвшөөрдөг (bin талбарт “/../” гэсэн замуудыг зөвшөөрсөн).Эх сурвалж: opennet.ru
