低危 6.13.4之前的npm CLI版本易受任意文件覆盖的影响

CVE编号

CVE-2019-16777

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-12-13
漏洞描述
6.13.4之前的npm CLI版本容易受到任意文件覆盖的影响。它无法防止现有的全局安装二进制文件被其他软件包安装覆盖。例如,如果在全球范围内安装了某个软件包并创建了服务二进制文件,则随后还会创建服务二进制文件的软件包的任何后续安装都将覆盖先前的服务二进制文件。在本地安装以及通过安装脚本仍然允许这种行为。此漏洞使用--ignore-scripts安装选项绕过了用户。

解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/npm/cli/security/advisories/GHSA-4328-8hgf-7wjr
参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00027.html
https://access.redhat.com/errata/RHEA-2020:0330
https://access.redhat.com/errata/RHSA-2020:0573
https://access.redhat.com/errata/RHSA-2020:0579
https://access.redhat.com/errata/RHSA-2020:0597
https://access.redhat.com/errata/RHSA-2020:0602
https://blog.npmjs.org/post/189618601100/binary-planting-with-the-npm-cli
https://github.com/npm/cli/security/advisories/GHSA-4328-8hgf-7wjr
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202003-48
https://www.oracle.com/security-alerts/cpujan2020.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 cli_project cli * Up to
(excluding)
6.13.4
运行在以下环境
应用 oracle graalvm 19.3.0.2 -
运行在以下环境
系统 debian_10 npm * Up to
(excluding)
5.8.0+ds6-4+deb10u1
运行在以下环境
系统 debian_11 npm * Up to
(excluding)
6.13.4+ds-2
运行在以下环境
系统 debian_12 npm * Up to
(excluding)
6.13.4+ds-2
运行在以下环境
系统 fedora_30_Modular nodejs * Up to
(excluding)
12-3020200113132116.a5b0195c
运行在以下环境
系统 fedora_31 libuv * Up to
(excluding)
1.34.1-1.fc31
运行在以下环境
系统 fedora_31_Modular nodejs * Up to
(excluding)
12-3120200108132959.f636be4b
运行在以下环境
系统 opensuse_Leap_15.1 npm8 * Up to
(excluding)
8.17.0-lp151.2.9.1
阿里云评分
2.7
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    普通权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    100
CWE-ID 漏洞类型
CWE-269 特权管理不恰当
阿里云安全产品覆盖情况