Luka w NPM umożliwiająca modyfikację dowolnych plików podczas instalacji pakietu
W aktualizacji menedżera pakietów NPM 6.13.4, wchodzącego w skład dystrybucji Node.js i służącego do dystrybucji modułów w języku JavaScript, trzy luki (, и ), która umożliwia modyfikację lub nadpisanie dowolnych plików systemowych podczas instalacji pakietu przygotowanego przez atakującego. Jako obejście ochrony można zainstalować go z opcją „-ignore-scripts”, która zabrania wykonywania wbudowanych pakietów obsługi. Twórcy NPM przeanalizowali pakiety dostępne w repozytorium i nie znaleźli żadnych śladów wykorzystania zidentyfikowanych problemów do przeprowadzania ataków.
CVE-2019-16777 w wersjach wcześniejszych niż 6.13.4 i umożliwia nadpisywanie systemowych plików wykonywalnych podczas instalacji pakietu globalnego. Możesz zastępować tylko pliki w katalogu docelowym, w którym są zainstalowane pliki wykonywalne (zwykle /usr/local/bin).
и pojawiają się w wydaniach wcześniejszych niż 6.13.3 i umożliwiają zapisanie dowolnego pliku poprzez utworzenie dowiązania symbolicznego do plików poza katalogiem z modułami (node_modules) lub manipulację polem bin w package.json (ścieżki z „/../” zostały dozwolone w polu bin).
