Vulnerabilidade no NPM que permite a modificação de arquivos arbitrários durante a instalação do pacote

Na atualização do gerenciador de pacotes NPM 6.13.4, incluído na distribuição Node.js e utilizado para distribuir módulos na linguagem JavaScript, eliminado três vulnerabilidades (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), que permite que arquivos arbitrários do sistema sejam modificados ou substituídos ao instalar um pacote preparado por um invasor. Como solução alternativa para proteção, você pode instalá-lo com a opção “-ignore-scripts”, que proíbe a execução de pacotes manipuladores integrados. Os desenvolvedores do NPM analisaram os pacotes disponíveis no repositório e não encontraram vestígios dos problemas identificados sendo utilizados para realizar ataques.

CVE-2019-16777 manifesta-se em versões anteriores à 6.13.4 e permite substituir arquivos executáveis ​​do sistema durante a instalação global do pacote. Você só pode substituir arquivos no diretório de destino onde os arquivos executáveis ​​estão instalados (geralmente /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 aparecem em versões anteriores a 6.13.3 e permitem que você escreva um arquivo arbitrário criando um link simbólico para arquivos fora do diretório com módulos (node_modules) ou manipulando o campo bin em package.json (caminhos com “/../” eram permitido no campo bin).

Fonte: opennet.ru