← voltar
CVE-2019-16776

Unauthorized File Access in npm CLI before before version 6.13.3

CVSS 7.7 HIGHEPSS 3.3%CWE-22
Em resumo

O npm antes da versão 6.13.3 permite que pacotes maliciosos escrevam arquivos em qualquer lugar do seu sistema durante a instalação, não apenas na pasta do projeto. Um atacante pode criar um pacote que modifica ou acessa seus arquivos pessoais quando você o instala.

Detalhe técnico

O CLI do npm falha em validar adequadamente o campo bin do package.json, permitindo traversal de caminho (CWE-22) que ignora o limite do diretório node_modules. Um pacote malicioso pode escrever arquivos arbitrários no sistema de arquivos durante a instalação; essa vulnerabilidade persiste mesmo com a flag --ignore-scripts devido a vetores alternativos como scripts de instalação.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Versions of the npm CLI prior to 6.13.3 are vulnerable to an Arbitrary File Write. It fails to prevent access to folders outside of the intended node_modules folder through the bin field. A properly constructed entry in the package.json bin field would allow a package publisher to modify and/or gain access to arbitrary files on a user's system when the package is installed. This behavior is still possible through install scripts. This vulnerability bypasses a user using the --ignore-scripts install option.
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
Produtos afetados
npm · cli

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00027.htmlhttps://access.redhat.com/errata/RHEA-2020:0330https://access.redhat.com/errata/RHSA-2020:0573https://access.redhat.com/errata/RHSA-2020:0579https://access.redhat.com/errata/RHSA-2020:0597https://access.redhat.com/errata/RHSA-2020:0602https://blog.npmjs.org/post/189618601100/binary-planting-with-the-npm-clihttps://github.com/npm/cli/security/advisories/GHSA-x8qc-rrcw-4r46https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z36UKPO5F3PQ3Q2POMF5LEKXWAH5RUFP/https://www.oracle.com/security-alerts/cpujan2020.html