CVE编号
CVE-2021-43616利用情况
暂无补丁情况
没有补丁披露时间
2021-11-14漏洞描述
NPM npm CLI是美国npm(NPM)公司的一款软件包管理器。 npm CLI 存在安全漏洞,该漏洞源于软件中的npm ci命令,即使package-lock.json中的依赖信息与package.json不同,命令仍会继续安装,行为与文档不一致,攻击者容易安装原本被精确匹配阻止的恶意软件。解决建议
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:https://github.com/npm/cli
参考链接 |
|
---|---|
https://docs.npmjs.com/cli/v7/commands/npm-ci | |
https://github.com/icatalina/CVE-2021-43616 | |
https://github.com/npm/cli/commit/457e0ae61bbc55846f5af44afa4066921923490f | |
https://github.com/npm/cli/issues/2701 | |
https://lists.fedoraproject.org/archives/list/[email protected]... | |
https://medium.com/cider-sec/this-time-we-were-lucky-85c0dcac94a0 | |
https://security.netapp.com/advisory/ntap-20211210-0002/ |
受影响软件情况
# | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
1 | |||||||||
---|---|---|---|---|---|---|---|---|---|
运行在以下环境 | |||||||||
应用 | npmjs | npm | * |
From (including) 7.0.0 |
Up to (including) 7.24.2 |
||||
运行在以下环境 | |||||||||
应用 | npmjs | npm | * |
From (including) 8.0.0 |
Up to (including) 8.1.3 |
||||
运行在以下环境 | |||||||||
系统 | alpine_edge | npm | * |
Up to (excluding) 8.1.4-r0 |
|||||
运行在以下环境 | |||||||||
系统 | debian_10 | npm | * |
Up to (excluding) 5.8.0+ds6-4+deb10u2 |
|||||
运行在以下环境 | |||||||||
系统 | debian_11 | npm | * |
Up to (excluding) 7.5.2+ds-2 |
|||||
运行在以下环境 | |||||||||
系统 | debian_12 | npm | * |
Up to (excluding) 8.5.1~ds-1 |
|||||
运行在以下环境 | |||||||||
系统 | debian_sid | npm | * |
Up to (excluding) 8.5.2~ds-1 |
|||||
运行在以下环境 | |||||||||
系统 | fedora_35 | npm | * |
Up to (excluding) 16.13.2-8.fc35 |
|||||
运行在以下环境 | |||||||||
系统 | fedora_EPEL_7 | npm | * |
Up to (excluding) 16.13.2-8.el7 |
|||||
运行在以下环境 | |||||||||
系统 | fedora_Epel_8_Modular | npm | * |
Up to (excluding) 16_epel-820220204180904.9edba152 |
|||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 没有补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
还没有评论,来说两句吧...