Розробники пакетного менеджера NPM усунули небезпечну вразливість
Розробники пакетного менеджера NPM усунули небезпечну вразливість
Розробники пакетного менеджера NPM усунули небезпечну вразливість у наборі інструментів командного рядка, що дозволяє зловмисникам модифікувати файли на системі користувача при встановленні пакета. Проблема зачіпає версії NPM до 6.13.3, а також версії альтернативного NPM-клієнта Yarn молодшого за реліз 1.21.1.
Вразливість може бути проексплуатована шляхом створення запису в полі bin package.json. В результаті атакуючий отримає можливість змінити та/або отримати доступ до довільних файлів на системі користувача при встановленні пакета, пояснила команда проекту.
Ця проблема виявилася не єдиною. Розробник виявив в NPM вразливість, що надає можливість створювати довільні символічні посилання на будь-який файл. Версії NPM до 6.13.3, а також усі поточні версії Yarn дозволяють перезаписати існуючі бінарні файли, але тільки в каталозі /usr/local/bin.
За словами розробника, експлуатація не потребуватиме значних зусиль.