NPM 6.13.4 ပက်ကေ့ဂျ်မန်နေဂျာ၏ အပ်ဒိတ်တွင်၊ Node.js ဖြန့်ဖြူးမှုတွင် ပါဝင်သော မော်ဂျူးများကို JavaScript ဘာသာစကားတွင် ဖြန့်ဝေရန် အသုံးပြုသည်၊ အားနည်းချက် သုံးခု (, и ) သည် တိုက်ခိုက်သူမှ ပြင်ဆင်ထားသော ပက်ကေ့ခ်ျကို ထည့်သွင်းသည့်အခါ မထင်သလို စနစ်ဖိုင်များကို ပြုပြင်ရန် သို့မဟုတ် အစားထိုးရေးခွင့်ပြုသည်။ အကာအကွယ်အတွက် ဖြေရှင်းနည်းတစ်ခုအနေဖြင့်၊ ၎င်းကို built-in handler packages များလုပ်ဆောင်ခြင်းကို တားမြစ်ထားသည့် "-ignore-scripts" option ဖြင့် ထည့်သွင်းနိုင်သည်။ NPM developer များသည် repository တွင် ရရှိနိုင်သော package များကို ခွဲခြမ်းစိတ်ဖြာပြီး တိုက်ခိုက်မှုများကို လုပ်ဆောင်ရန် အသုံးပြုနေသည့် ဖော်ထုတ်ထားသော ပြဿနာများကို ခြေရာခံမတွေ့ရှိပါ။
CVE-2019-16777 6.13.4 မတိုင်မီ ထုတ်ဝေမှုများတွင် နှင့် ကမ္ဘာလုံးဆိုင်ရာ ပက်ကေ့ဂျ် တပ်ဆင်မှုအတွင်း စနစ်လုပ်ဆောင်နိုင်သော ဖိုင်များကို overwrite လုပ်ခွင့်ပြုသည်။ အကောင်ထည်ဖော်နိုင်သောဖိုင်များကို ထည့်သွင်းထားသည့် ပစ်မှတ်လမ်းညွှန်တွင် ဖိုင်များကိုသာ အစားထိုးနိုင်သည် (များသောအားဖြင့် /usr/local/bin)။
и 6.13.3 မတိုင်မီ ထုတ်ဝေမှုများတွင် ပေါ်လာပြီး မော်ဂျူးများ (node_modules) ဖြင့် လမ်းညွှန်ချက်အပြင်ဘက်ရှိ ဖိုင်များသို့ သင်္ကေတလင့်ခ်တစ်ခုကို ဖန်တီးခြင်းဖြင့် သို့မဟုတ် package.json တွင် ပုံးအကွက်ကို ကိုင်တွယ်ခြင်းဖြင့် (“/../” နှင့် လမ်းကြောင်းများဖြစ်သည် bin အကွက်တွင်ခွင့်ပြုသည်။)
source: opennet.ru
