Сообщение
[Ботя] » 16 дек 2019, 16:30
В обновлении пакетного менеджера NPM 6.13.4, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript, устранены три уязвимости (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), позволяющие модифицировать или перзаписать произвольные системные файлы при установке пакета, подготовленного злоумышленником. В качестве обходного пути защиты может быть установка с опцией "--ignore-scripts", запрещающей выполнение встроенных пакеты обработчиков. Разработчики NPM проанализирвали имеющиеся в репозитории пакеты и не нашли следов использования выявленных проблем для совершения атак.
Подробнее...
Уязвимость в NPM, позволяющая изменить произвольные файлы при установке пакета