ืืื ืืขืจ ืืขืจืืืึทื ืืืงื ืคืื ืื NPM 6.13.4 ืคึผืขืงื ืคืึทืจืืืึทืืืขืจ, ืึทืจืืึทื ืืขืจืขืื ื ืืื ืื Node.js ืคืึทืจืฉืคึผืจืืืืื ื ืืื ืืขื ืืฆื ืฆื ืคืึทืจืฉืคึผืจืืืื ืืึทืืืฉืืื ืืื ืื ืืืฉืึทืืืึทืกืงืจืืคึผื ืฉืคึผืจืึทื, ืืืืืึทื ืืืืึทื ืืจืื ืืืึทืื ืขืจืึทืืืืืืื (CVE-2019-16775, CVE-2019-16776 ะธ CVE-2019-16777), ืืืึธืก ืึทืืึทืื ืึทืจืืืืจืึทืจืืฉ ืกืืกืืขื ืืขืงืขืก ืฆื ืืืื ืืึทืืึทืคืืื ืึธืืขืจ ืึธืืืืขืจืจืืืึทื ืืืขื ืื ืกืืึธืืื ื ืึท ืคึผืขืงื ืฆืืืขืืจืืื ืืืจื ืึท ืึทืืึทืงืขืจ. ืืื ืึท ืืืึธืจืงืึทืจืึธืื ื ืคึฟืึทืจ ืฉืืฅ, ืืืจ ืงืขื ืขื ืื ืกืืึทืืืจื ืขืก ืืื ืื "-ืืื ืึธืจืข-ืกืงืจืืคึผืก" ืึธืคึผืฆืืข, ืืืึธืก ืคึผืจืึธืืืืืึทืฅ ืื ืืืจืืคืืจืื ื ืคืื ืืขืืืื-ืืื ืืึทื ืืืขืจ ืคึผืึทืงืึทืืืฉืึทื. NPM ืืขืืืขืืึธืคึผืขืจืก ืึทื ืึทืืืืื ืื ืคึผืึทืงืึทืืืฉืึทื ืื ืืืฆื ืืื ืื ืจืืคึผืึทืืึทืืึธืจื ืืื ืืขืคืื ืขื ืงืืื ืืจืึทืกืขืก ืคืื ืื ืืืืขื ืึทืคืืื ืคึผืจืึธืืืขืืก ืืืึธืก ืืขื ืขื ืืขื ืืฆื ืฆื ืืืจืืคืืจื ืื ืคืืื.
CVE-2019-16777 ืืืืก ืืื ืจืืืืกืื ืืืืืขืจ 6.13.4 ืืื ืึทืืึทืื ืืืจ ืฆื ืึธืืืืขืจืจืืื ืกืืกืืขื ืขืงืกืขืงืืืึทืืืข ืืขืงืขืก ืืขืฉืึทืก ืืืืืืืข ืคึผืขืงื ืื ืกืืึทืืืจืื ื. ืืืจ ืงืขื ืขื ืืืืื ืคืึทืจืืืึทืื ืืขืงืขืก ืืื ืื ืฆืื ืืืขืืืืืึทืืขืจ ืืื ืื ืขืงืกืขืงืืืึทืืืข ืืขืงืขืก ืืขื ืขื ืืื ืกืืึทืืืจื (ืืืืฉืึทืืืึทืื /usr/local/bin).
CVE-2019-16775 ะธ CVE-2019-16776 ืืขืจืฉืืึทื ืขื ืืื ืจืืืืกืื ืืืืืขืจ 6.13.3 ืืื ืืึธืื ืืืจ ืฆื ืฉืจืืึทืื ืึท ืึทืจืืืืจืึทืจืืฉ ืืขืงืข ืืืจื ืงืจืืืืืื ื ืึท ืกืืืืึธืืืฉ ืืื ืง ืฆื ืืขืงืขืก ืึทืจืืืก ืื ืืืขืืืืืึทืืขืจ ืืื ืืึทืืืฉืืื (ื ืึธืืข_ืืึธืืืืขืก) ืึธืืขืจ ืืืจื ืืึทื ืืคึผืืึทืืืืืื ื ืื bin field ืืื package.json (ืคึผืึทืืก ืืื "/../" ืืขื ืขื ืืขืืืขื ืขืจืืืืื ืืื ืื ืืึทื ืคืขืื).
ืืงืืจ: opennet.ru