ГлавнаяБаза уязвимостей БДУ → BDU:2019-04690
7.1высокая

BDU:2019-04690 (CVE-2019-16776)

Уязвимость набора инструментов командной строки пакетных менеджеров NPM и Yarn, позволяющая нарушителю записывать произвольные файлы
Опубликовано: 2019-12-17
Описание

Уязвимость набора инструментов командной строки пакетных менеджеров NPM и Yarn существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, записывать произвольные файлы, путем создания символической ссылки на файлы вне каталога с модулями (thenode_modules) или посредством манипуляции с полем bin в package.json

Затрагиваемое ПО и версии
OpenSUSE Leap (15.1)Fedora (31)npm (до 6.13.3)yarn (до 1.21.1)GraalVM Enterprise Edition (19.3.0.2)
Способ устранения

Использование рекомендаций:
https://blog.npmjs.org/post/189618601100/binary-planting-with-the-npm-cli
https://github.com/npm/cli/security/advisories/GHSA-x8qc-rrcw-4r46

Для OpenSUSE:
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00027.html

Для продуктов Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Z36UKPO5F3PQ3Q2POMF5LEKXWAH5RUFP/

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://www.securitylab.ru/news/503411.phphttps://nvd.nist.gov/vuln/detail/CVE-2019-16776https://blog.npmjs.org/post/189618601100/binary-planting-with-the-npm-clihttps://www.opennet.ru/opennews/art.shtml?num=52043https://github.com/npm/cli/security/advisories/GHSA-x8qc-rrcw-4r46
Проверьте безопасность своего сайта и почты → Полная проверка домена