Дар навсозии мудири бастаи NPM 6.13.4, ки ба тақсимоти Node.js дохил карда шудааст ва барои паҳн кардани модулҳо бо забони JavaScript истифода мешавад, се осебпазирӣ (, и ), ки имкон медиҳад, ки файлҳои системавии худсарона ҳангоми насб кардани бастаи аз ҷониби ҳамлагар омодашуда тағир ё аз нав навишта шаванд. Ҳамчун як роҳи ҳалли муҳофизат, шумо метавонед онро бо имконоти "-ignore-scripts" насб кунед, ки иҷрои бастаҳои коркарди дарунсохтро манъ мекунад. Таҳиягарони NPM бастаҳои дар анбор мавҷудбударо таҳлил карданд ва ҳеҷ осори мушкилоти муайяншударо, ки барои анҷом додани ҳамлаҳо истифода мешаванд, наёфтанд.
CVE-2019-16777 дар нашрияҳои пеш аз 6.13.4 ва ба шумо имкон медиҳад, ки файлҳои иҷрошавандаи системаро ҳангоми насби бастаи глобалӣ дубора нависед. Шумо метавонед танҳо файлҳоро дар директорияи мақсаднок, ки дар он файлҳои иҷрошаванда насб карда шудаанд, иваз кунед (одатан /usr/local/bin).
и дар версияҳои пеш аз 6.13.3 пайдо мешаванд ва ба шумо имкон медиҳанд, ки бо эҷоди истиноди рамзӣ ба файлҳои берун аз директория бо модулҳо (node_modules) ё тавассути коркарди майдони бин дар package.json (роҳҳо бо "/../" буданд, файли ихтиёрӣ нависед. дар майдони бин иҷозат дода мешавад).
Манбаъ: opennet.ru
