Kotsi ho NPM e lumellang hore lifaele tse ling li fetoloe nakong ea ho kenya sephutheloana

Nchafatsong ea molaoli oa sephutheloana sa NPM 6.13.4, e kenyellelitsoeng phepelong ea Node.js mme e sebelisetsoa ho aba li-module ka puo ea JavaScript, felisitsoe likotsi tse tharo (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), e lumellang hore lifaele tsa sistimi li fetoloe kapa li hlakoloe ha u kenya sephutheloana se lokiselitsoeng ke mohlaseli. Joalo ka mokhoa oa ts'ireletso, o ka e kenya ka khetho ea "-ignore-scripts", e thibelang ts'ebetso ea liphutheloana tse hahelletsoeng. Bahlahisi ba NPM ba ile ba hlahlobisisa liphutheloana tse fumanehang sebakeng sa polokelo mme ba fumana ho se na mesaletsa ea mathata a fumanoeng a sebelisetsoang ho etsa litlhaselo.

CVE-2019-16777 hlaha litokollong tsa pele ho 6.13.4 mme e u lumella ho ngola lifaele tse ka phethisoang tsa sistimi nakong ea ho kenya sephutheloana sa lefats'e. U ka kenya lifaele feela bukeng eo u batlang ho e sebelisa moo lifaele tse sebetsang li kentsoeng (hangata /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 hlaha litokollong pele ho 6.13.3 'me u lumelle hore u ngole faele e nang le mabaka a utloahalang ka ho theha sehokelo sa tšoantšetso ho lifaele tse ka ntle ho bukana e nang le li-module (node_modules) kapa ka ho fetola tšimo ea bin ka har'a package.json (litsela tse nang le "/../" li ne li le teng. lumelloa tšimong ea moqomo) .

Source: opennet.ru