NPM 中的漏洞允许在软件包安装过程中修改任意文件

在 NPM 6.13.4 包管理器的更新中，包含在 Node.js 发行版中并用于分发 JavaScript 语言的模块， 被淘汰 三个漏洞（CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777），这允许在安装攻击者准备的软件包时修改或覆盖任意系统文件。 作为保护的解决方法，您可以使用“-ignore-scripts”选项安装它，该选项禁止执行内置处理程序包。 NPM 开发人员分析了存储库中可用的软件包，没有发现任何已识别问题被用来进行攻击的痕迹。

CVE-2019-16777 表现出来 在 6.13.4 之前的版本中，允许您在全局包安装期间覆盖系统可执行文件。 您只能替换安装可执行文件的目标目录（通常是/usr/local/bin）中的文件。

CVE-2019-16775 и CVE-2019-16776 出现在 6.13.3 之前的版本中，允许您通过使用模块 (node_modules) 创建到目录外部文件的符号链接或通过操作 package.json 中的 bin 字段（带有“/../”的路径）来编写任意文件允许在 bin 字段中）。

来源： opennet.ru