ప్యాకేజీ ఇన్స్టాలేషన్ సమయంలో ఏకపక్ష ఫైల్లను సవరించడానికి అనుమతించే NPMలో దుర్బలత్వం
NPM 6.13.4 ప్యాకేజీ మేనేజర్ యొక్క నవీకరణలో, Node.js పంపిణీలో చేర్చబడింది మరియు JavaScript భాషలో మాడ్యూళ్లను పంపిణీ చేయడానికి ఉపయోగించబడుతుంది, మూడు దుర్బలత్వాలు (, и ), ఇది దాడి చేసేవారు తయారుచేసిన ప్యాకేజీని ఇన్స్టాల్ చేస్తున్నప్పుడు ఏకపక్ష సిస్టమ్ ఫైల్లను సవరించడానికి లేదా భర్తీ చేయడానికి అనుమతిస్తుంది. రక్షణ కోసం ప్రత్యామ్నాయంగా, మీరు దీన్ని “-ignore-scripts” ఎంపికతో ఇన్స్టాల్ చేయవచ్చు, ఇది అంతర్నిర్మిత హ్యాండ్లర్ ప్యాకేజీల అమలును నిషేధిస్తుంది. NPM డెవలపర్లు రిపోజిటరీలో అందుబాటులో ఉన్న ప్యాకేజీలను విశ్లేషించారు మరియు దాడులు చేయడానికి ఉపయోగించబడుతున్న గుర్తించబడిన సమస్యల జాడలు కనుగొనబడలేదు.
CVE-2019-16777 6.13.4కి ముందు విడుదలలలో మరియు గ్లోబల్ ప్యాకేజీ ఇన్స్టాలేషన్ సమయంలో సిస్టమ్ ఎక్జిక్యూటబుల్ ఫైల్లను ఓవర్రైట్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. మీరు ఎక్జిక్యూటబుల్ ఫైల్లు ఇన్స్టాల్ చేయబడిన లక్ష్య డైరెక్టరీలోని ఫైల్లను మాత్రమే భర్తీ చేయగలరు (సాధారణంగా /usr/local/bin).
и 6.13.3కి ముందు విడుదలలలో కనిపిస్తుంది మరియు డైరెక్టరీ వెలుపల ఉన్న ఫైల్లకు మాడ్యూల్స్తో (node_modules) సింబాలిక్ లింక్ను సృష్టించడం ద్వారా లేదా ప్యాకేజీ.jsonలో బిన్ ఫీల్డ్ను మార్చడం ద్వారా (“/../”తో పాత్లను మార్చడం ద్వారా ఏకపక్ష ఫైల్ను వ్రాయడానికి మిమ్మల్ని అనుమతిస్తుంది. బిన్ ఫీల్డ్లో అనుమతించబడింది) .
