ГлавнаяБаза уязвимостей БДУ → BDU:2023-03309
7.8высокая

BDU:2023-03309

Уязвимость пакетного менеджера npm, связанная с раскрытием информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2023-06-22
Описание

Уязвимость пакетного менеджера npm связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
РЕД ОС (7.3)npm (до 8.11.0)
Способ устранения

Использование рекомендаций:

Для npm:
https://github.com/nodejs/node/pull/43210
https://github.com/nodejs/node/releases/tag/v17.9.1
https://github.com/nodejs/node/releases/tag/v18.3.0
https://github.com/npm/cli/релизы/тег/v8.11.0
https://github.com/npm/cli/security/advisories/GHSA-hj9c-8jmm-8c52
https://github.com/npm/cli/tree/latest/workspaces/libnpmpack
https://github.com/npm/cli/tree/latest/workspaces/libnpmpublish
https://github.com/npm/npm-packlist

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/nodejs/node/pull/43210https://github.com/nodejs/node/releases/tag/v17.9.1https://github.com/nodejs/node/releases/tag/v18.3.0https://github.com/npm/cli/релизы/тег/v8.11.0https://github.com/npm/cli/security/advisories/GHSA-hj9c-8jmm-8c52https://github.com/npm/cli/tree/latest/workspaces/libnpmpackhttps://github.com/npm/cli/tree/latest/workspaces/libnpmpublishhttps://github.com/npm/npm-packlist
Проверьте безопасность своего сайта и почты → Полная проверка домена