GitHub ua faʻaalia faʻamatalaga o faʻafitauli e fitu i totonu o le tar ma @npmcli/arborist packages, lea e tuʻuina atu ai galuega mo le galulue ai ma faʻamaumauga faʻamaumauga ma le fuafuaina o le laau faʻalagolago i Node.js. O fa'aletonu e mafai ai, pe a tatalaina se fa'amaumauga fa'apitoa, e fa'asolo ai faila i fafo atu o le root directory o lo'o fa'atinoina ai le tatalaina, i le mamao e mafai ai ona avanoa avanoa. O faʻafitauli e mafai ai ona faʻatulagaina le faʻatinoina o le tulafono faʻamaonia i luga o le polokalama, mo se faʻataʻitaʻiga, e ala i le faʻaopoopoina o faʻatonuga i le ~ / .bashrc poʻo le ~ / .profile pe a faia se taʻaloga e se tagata e le faʻaaogaina, poʻo le suia o faila faila pe a taʻavale e pei o. a'a.
O le lamatiaga o faʻafitauli e faʻateleina e le mea moni o le faʻafitauli faʻafitauli o loʻo faʻaaogaina i le npm package manager pe a faʻatino galuega faʻatasi ma npm packages, lea e mafai ai ona faʻatulagaina se osofaʻiga i tagata faʻaoga e ala i le tuʻuina o se pusa npm faʻapitoa i totonu o le fale teu oloa, o le gaioiga. lea o le a fa'atino ai le fa'ailoga a le tagata osofa'i ile faiga. O le osofaʻiga e mafai e tusa lava pe faʻapipiʻi afifi i le "-ignore-scripts" mode, lea e faʻagata ai le faʻatinoina o tusitusiga faʻapipiʻi. I le aofaʻi, o le npm e aʻafia ai faʻafitauli (CVE-2021-32804, CVE-2021-37713, CVE-2021-39134 ma CVE-2021-39135) mai le fitu. O faʻafitauli muamua e lua e faʻatatau i le pusa ta, ma o le isi lua e popole i le @npmcli/arborist package.
O le faʻafitauli sili ona mataʻutia, CVE-2021-32804, e mafua mai i le mea moni e faapea, pe a faʻamama ala atoatoa o loʻo faʻamaonia i totonu o se faʻamaumauga faʻamaumauga, toe fai "/" mataitusi e faʻagasolo sese-naʻo le tagata muamua e aveese, ae o totoe o loʻo totoe. Mo se faʻataʻitaʻiga, o le ala "/home/user/.bashrc" o le a liua i le "home/user/.bashrc" ma le ala "//home/user/.bashrc" i le "/home/user/.bashrc". O le faʻafitauli lona lua, CVE-2021-37713, e faʻaalia i luga o le Windows platform ma e fesoʻotaʻi ma le faʻamama le saʻo o auala faʻafesoʻotaʻi e aofia ai se uiga taʻavale e le faʻatapulaaina (“C:some\path”) ma se faasologa e toe foʻi i le lisi muamua ( “C:../foo”) .
Fa'aletonu CVE-2021-39134 ma le CVE-2021-39135 e patino ile @npmcli/arborist module. O le faʻafitauli muamua e faʻaalia i luga o faiga e le iloa ai le tulaga o mataʻitusi i le faila faila (macOS ma Windows), ma faʻatagaina oe e tusi faila i se vaega faʻapitoa o le faila faila e ala i le faʻamaonia o lua modules '"foo" i totonu o faʻalagolago. : "file:/some/path"' ma le 'FOO: "file:foo.tgz"', o le faagasologa o le a taitai atu ai i le tapeina o mea o loʻo i totonu o le /some/path directory ma tusi ai mea o le foo.tgz i ai. O le faʻafitauli lona lua e mafai ai ona faʻauluina faila e ala i le faʻaogaina o fesoʻotaʻiga faʻatusa.
O faʻafitauli e foia i Node.js faʻasalalau 12.22.6 ma 14.17.6, npm CLI 6.14.15 ma 7.21.0, ma faʻasalalauga taʻitasi taʻitasi 4.4.19, 5.0.11, ma 6.1.10. Ina ua uma ona maua faʻamatalaga e uiga i le faʻafitauli o se vaega o le "bug bounty" initiative, na totogi e GitHub le au suʻesuʻe $ 14500 ma suʻesuʻeina mea o loʻo i totonu o le fale teu oloa, lea e leʻi faʻaalia ai taumafaiga e faʻaogaina faʻafitauli. Ina ia puipuia mai nei faʻafitauli, ua faʻasaina foi e GitHub le lolomiina o afifi NPM e aofia ai fesoʻotaʻiga faʻatusa, fesoʻotaʻiga faigata, ma auala atoatoa i le fale teu oloa.
puna: opennet.ru