В популярнейшем JavaScript-менеджере пакетов npm (Node Package Manager) была обнаружена уязвимость, и теперь пользователей призывают как можно скорее обновиться до версии 6.13.4. В противном случае злоумышленники смогут размещать и модифицировать бинарники на машинах пользователей.
Разработчики объясняют, что клиент CLI был подвержен опасному багу: комбинации проблем file traversal и возможности (пере)записи произвольных файлов. В результате атакующий получал возможность поместить на компьютер жертвы вредоносные бинарники и перезаписать файлы. Уязвимость может эксплуатировать только во время установки npm-пакета с через интерфейс CLI.
Пока разработчикам npm не удалось обнаружить никаких подозрительных признаков того, что какие-то пакеты содержали эксплоит для этой проблемы. Пока они не спешат гарантировать, что никто не успел воспользоваться свежей уязвимостью, но уверяют, что среди официальных пакетов в npm эксплоитов найдено не было.
Так как изучить все другие возможные источники пакетов разработчики не в силах, они призывают пользователей как можно скорее обновиться до безопасной версии npm 6.13.4. Сообщается, что уязвимость также затрагивала Yarn, где ошибка была устранена с релизом версии 1.21.1.
Немецкий исследователь Дэниел Руф (Daniel Ruf), обнаруживший уязвимость, опубликовал детальный пост в своем блоге, где рассказал не только о технических аспектах проблемы, но и обнародовал PoC-эксплоиты, которые могут использоваться для записи и перезаписи произвольных файлов и разрешат атакующему несанкционированный доступ к файлам.
