← voltar
CVE-2019-16777

Arbitrary File Overwrite in npm CLI

CVSS 7.7 HIGHEPSS 2.0%CWE-22
Em resumo

O npm anterior à versão 6.13.4 permite que pacotes sobrescrevam programas já instalados no seu computador. Um atacante pode substituir ferramentas legítimas por versões maliciosas sem seu conhecimento.

Detalhe técnico

Vulnerabilidade de travessia de caminho (CWE-22) no npm CLI (<6.13.4) permite sobrescrita arbitrária de binários instalados globalmente durante a instalação de pacotes. A vulnerabilidade persiste mesmo com a flag --ignore-scripts e pode ser explorada durante fluxos normais de instalação, possibilitando ataques de substituição de binários.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Versions of the npm CLI prior to 6.13.4 are vulnerable to an Arbitrary File Overwrite. It fails to prevent existing globally-installed binaries to be overwritten by other package installations. For example, if a package was installed globally and created a serve binary, any subsequent installs of packages that also create a serve binary would overwrite the previous serve binary. This behavior is still allowed in local installations and also through install scripts. This vulnerability bypasses a user using the --ignore-scripts install option.
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
Produtos afetados
npm · cli

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00027.htmlhttps://access.redhat.com/errata/RHEA-2020:0330https://access.redhat.com/errata/RHSA-2020:0573https://access.redhat.com/errata/RHSA-2020:0579https://access.redhat.com/errata/RHSA-2020:0597https://access.redhat.com/errata/RHSA-2020:0602https://blog.npmjs.org/post/189618601100/binary-planting-with-the-npm-clihttps://github.com/npm/cli/security/advisories/GHSA-4328-8hgf-7wjrhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z36UKPO5F3PQ3Q2POMF5LEKXWAH5RUFP/https://security.gentoo.org/glsa/202003-48https://www.oracle.com/security-alerts/cpujan2020.html