ALT-PU-2020-2196-2

BDU:2019-04689

HIGH7.7

Уязвимость набора инструментов командной строки пакетных менеджеров NPM и Yarn, позволяющая нарушителю перезаписать произвольные файлы в контексте целевого каталога

Опубликовано: 2019-12-17Изменено: 2020-02-10

CVSS 3.xВЫСОКАЯ 7.7

CVSS:3.x/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N

CVSS 2.0ВЫСОКАЯ 7.1

CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:C/A:N

Ссылки

CVE-2019-16777

BDU:2019-04690

HIGH7.7

Уязвимость набора инструментов командной строки пакетных менеджеров NPM и Yarn, позволяющая нарушителю записывать произвольные файлы

Опубликовано: 2019-12-17Изменено: 2020-02-10

CVSS 3.xВЫСОКАЯ 7.7

CVSS:3.x/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N

CVSS 2.0ВЫСОКАЯ 7.1

CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:C/A:N

Ссылки

CVE-2019-16776

BDU:2019-04691

HIGH7.7

Уязвимость набора инструментов командной строки пакетных менеджеров NPM и Yarn, позволяющая нарушителю записывать произвольные файлы

Опубликовано: 2019-12-17Изменено: 2020-02-10

CVSS 3.xВЫСОКАЯ 7.7

CVSS:3.x/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N

CVSS 2.0ВЫСОКАЯ 7.1

CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:C/A:N

Ссылки

CVE-2019-16775

CVE-2019-16775

MEDIUM6.5

Versions of the npm CLI prior to 6.13.3 are vulnerable to an Arbitrary File Write. It is possible for packages to create symlinks to files outside of thenode_modules folder through the bin field upon installation. A properly constructed entry in the package.json bin field would allow a package publisher to create a symlink pointing to arbitrary files on a user's system when the package is installed. This behavior is still possible through install scripts. This vulnerability bypasses a user using the --ignore-scripts install option.

Опубликовано: 2019-12-13Изменено: 2024-11-21

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:N

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Ссылки

CVE-2019-16776

HIGH8.1

Versions of the npm CLI prior to 6.13.3 are vulnerable to an Arbitrary File Write. It fails to prevent access to folders outside of the intended node_modules folder through the bin field. A properly constructed entry in the package.json bin field would allow a package publisher to modify and/or gain access to arbitrary files on a user's system when the package is installed. This behavior is still possible through install scripts. This vulnerability bypasses a user using the --ignore-scripts install option.

Опубликовано: 2019-12-13Изменено: 2024-11-21

CVSS 2.0СРЕДНЯЯ 5.5

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:P/A:N

CVSS 3.xВЫСОКАЯ 8.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Ссылки

CVE-2019-16777

MEDIUM6.5

Versions of the npm CLI prior to 6.13.4 are vulnerable to an Arbitrary File Overwrite. It fails to prevent existing globally-installed binaries to be overwritten by other package installations. For example, if a package was installed globally and created a serve binary, any subsequent installs of packages that also create a serve binary would overwrite the previous serve binary. This behavior is still allowed in local installations and also through install scripts. This vulnerability bypasses a user using the --ignore-scripts install option.

Опубликовано: 2019-12-13Изменено: 2024-11-21

CVSS 2.0СРЕДНЯЯ 5.5

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:P

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Ссылки

GHSA-4328-8hgf-7wjr

HIGH7.7

npm Vulnerable to Global node_modules Binary Overwrite

Опубликовано: 2019-12-13Изменено: 2022-08-11

CVSS 3.xВЫСОКАЯ 7.7

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N

Ссылки

GHSA-m6cx-g6qm-p2cx

HIGH7.7

Arbitrary File Write in npm

Опубликовано: 2019-12-13Изменено: 2021-10-22

CVSS 3.xВЫСОКАЯ 7.7

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N

Ссылки

GHSA-x8qc-rrcw-4r46

HIGH7.7

npm symlink reference outside of node_modules

Опубликовано: 2019-12-13Изменено: 2022-08-11

CVSS 3.xВЫСОКАЯ 7.7

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N

Ссылки

Обновление пакета npm в ветке p9

Закрытые проблемы (9)

Уязвимость набора инструментов командной строки пакетных менеджеров NPM и Yarn, позволяющая нарушителю записывать произвольные файлы

Уязвимость набора инструментов командной строки пакетных менеджеров NPM и Yarn, позволяющая нарушителю записывать произвольные файлы

npm Vulnerable to Global node_modules Binary Overwrite

Arbitrary File Write in npm

npm symlink reference outside of node_modules