← voltar
CVE-2019-16775

Unauthorized File Access in npm CLI before before version 6.13.3

CVSS 7.7 HIGHEPSS 3.3%CWE-61
Em resumo

Versões do npm anteriores à 6.13.3 permitem que pacotes maliciosos criem links simbólicos para arquivos arbitrários do seu sistema durante a instalação, podendo expor ou sobrescrever dados sensíveis mesmo que você desabilite scripts.

Detalhe técnico

O npm CLI não valida adequadamente os destinos de symlinks no campo bin durante a instalação de pacotes, permitindo que um atacante crie links simbólicos apontando para locais arbitrários fora de node_modules. Isso ocorre independentemente da flag --ignore-scripts, possibilitando acesso ou modificação não autorizada de arquivos com os privilégios do usuário que instala.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Versions of the npm CLI prior to 6.13.3 are vulnerable to an Arbitrary File Write. It is possible for packages to create symlinks to files outside of thenode_modules folder through the bin field upon installation. A properly constructed entry in the package.json bin field would allow a package publisher to create a symlink pointing to arbitrary files on a user's system when the package is installed. This behavior is still possible through install scripts. This vulnerability bypasses a user using the --ignore-scripts install option.
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
Produtos afetados
npm · cli

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00027.htmlhttps://access.redhat.com/errata/RHEA-2020:0330https://access.redhat.com/errata/RHSA-2020:0573https://access.redhat.com/errata/RHSA-2020:0579https://access.redhat.com/errata/RHSA-2020:0597https://access.redhat.com/errata/RHSA-2020:0602https://blog.npmjs.org/post/189618601100/binary-planting-with-the-npm-clihttps://github.com/npm/cli/security/advisories/GHSA-m6cx-g6qm-p2cxhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z36UKPO5F3PQ3Q2POMF5LEKXWAH5RUFP/https://www.oracle.com/security-alerts/cpujan2020.htmlhttps://www.oracle.com/security-alerts/cpuoct2021.html