CVE-2019-16775
Unauthorized File Access in npm CLI before before version 6.13.3
En resumen
Versiones de npm anteriores a 6.13.3 permiten que paquetes maliciosos creen enlaces simbólicos a archivos arbitrarios de su sistema durante la instalación, pudiendo exponer o sobrescribir datos sensibles incluso si deshabilita scripts.
Detalle técnico
El CLI de npm no valida adecuadamente los destinos de enlaces simbólicos en el campo bin durante la instalación de paquetes, permitiendo que un atacante cree enlaces que apunten a ubicaciones arbitrarias fuera de node_modules. Esto ocurre independientemente de la flag --ignore-scripts, posibilitando acceso o modificación no autorizada de archivos con los privilegios del usuario instalador.
Resumen generado y traducido por IA a partir de la descripción oficial.
Versions of the npm CLI prior to 6.13.3 are vulnerable to an Arbitrary File Write. It is possible for packages to create symlinks to files outside of thenode_modules folder through the bin field upon installation. A properly constructed entry in the package.json bin field would allow a package publisher to create a symlink pointing to arbitrary files on a user's system when the package is installed. This behavior is still possible through install scripts. This vulnerability bypasses a user using the --ignore-scripts install option.
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
Productos afectados
npm · cli¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00027.htmlhttps://access.redhat.com/errata/RHEA-2020:0330https://access.redhat.com/errata/RHSA-2020:0573https://access.redhat.com/errata/RHSA-2020:0579https://access.redhat.com/errata/RHSA-2020:0597https://access.redhat.com/errata/RHSA-2020:0602https://blog.npmjs.org/post/189618601100/binary-planting-with-the-npm-clihttps://github.com/npm/cli/security/advisories/GHSA-m6cx-g6qm-p2cxhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z36UKPO5F3PQ3Q2POMF5LEKXWAH5RUFP/https://www.oracle.com/security-alerts/cpujan2020.htmlhttps://www.oracle.com/security-alerts/cpuoct2021.html