← volver
CVE-2019-16777

Arbitrary File Overwrite in npm CLI

CVSS 7.7 HIGHEPSS 2.0%CWE-22
En resumen

npm anterior a la versión 6.13.4 permite que paquetes sobrescriban programas ya instalados en su computadora. Un atacante puede reemplazar herramientas legítimas con versiones maliciosas sin su conocimiento.

Detalle técnico

Vulnerabilidad de recorrido de ruta (CWE-22) en npm CLI (<6.13.4) permite sobrescrita arbitraria de binarios instalados globalmente durante la instalación de paquetes. La vulnerabilidad persiste incluso con la bandera --ignore-scripts y puede explotarse durante flujos normales de instalación, permitiendo ataques de sustitución de binarios.

Resumen generado y traducido por IA a partir de la descripción oficial.
Versions of the npm CLI prior to 6.13.4 are vulnerable to an Arbitrary File Overwrite. It fails to prevent existing globally-installed binaries to be overwritten by other package installations. For example, if a package was installed globally and created a serve binary, any subsequent installs of packages that also create a serve binary would overwrite the previous serve binary. This behavior is still allowed in local installations and also through install scripts. This vulnerability bypasses a user using the --ignore-scripts install option.
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
Productos afectados
npm · cli

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00027.htmlhttps://access.redhat.com/errata/RHEA-2020:0330https://access.redhat.com/errata/RHSA-2020:0573https://access.redhat.com/errata/RHSA-2020:0579https://access.redhat.com/errata/RHSA-2020:0597https://access.redhat.com/errata/RHSA-2020:0602https://blog.npmjs.org/post/189618601100/binary-planting-with-the-npm-clihttps://github.com/npm/cli/security/advisories/GHSA-4328-8hgf-7wjrhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z36UKPO5F3PQ3Q2POMF5LEKXWAH5RUFP/https://security.gentoo.org/glsa/202003-48https://www.oracle.com/security-alerts/cpujan2020.html