6.13.4之前的npm CLI版本易受任意文件覆盖的影响

CVE编号

CVE-2019-16777

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-12-13

漏洞描述

6.13.4之前的npm CLI版本容易受到任意文件覆盖的影响。它无法防止现有的全局安装二进制文件被其他软件包安装覆盖。例如，如果在全球范围内安装了某个软件包并创建了服务二进制文件，则随后还会创建服务二进制文件的软件包的任何后续安装都将覆盖先前的服务二进制文件。在本地安装以及通过安装脚本仍然允许这种行为。此漏洞使用--ignore-scripts安装选项绕过了用户。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/npm/cli/security/advisories/GHSA-4328-8hgf-7wjr

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00027.html
https://access.redhat.com/errata/RHEA-2020:0330
https://access.redhat.com/errata/RHSA-2020:0573
https://access.redhat.com/errata/RHSA-2020:0579
https://access.redhat.com/errata/RHSA-2020:0597
https://access.redhat.com/errata/RHSA-2020:0602
https://blog.npmjs.org/post/189618601100/binary-planting-with-the-npm-cli
https://github.com/npm/cli/security/advisories/GHSA-4328-8hgf-7wjr
https://lists.fedoraproject.org/archives/list/[email protected]...
https://security.gentoo.org/glsa/202003-48
https://www.oracle.com/security-alerts/cpujan2020.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	cli_project	cli	*		Up to (excluding) 6.13.4
	运行在以下环境
	应用	oracle	graalvm	19.3.0.2	-
	运行在以下环境
	系统	centos_8	npm	*		Up to (excluding) 10.19.0-1.module+el8.1.0+5726+6ed65f8c
	运行在以下环境
	系统	debian_10	npm	*		Up to (excluding) 5.8.0+ds6-4+deb10u1
	运行在以下环境
	系统	fedora_30_Modular	npm	*		Up to (excluding) 12-3020200113132116.a5b0195c
	运行在以下环境
	系统	fedora_31	npm	*		Up to (excluding) 1.34.1-1.fc31
	运行在以下环境
	系统	fedora_31_Modular	npm	*		Up to (excluding) 12-3120200108132959.f636be4b
	运行在以下环境
	系统	opensuse_Leap_15.1	npm	*		Up to (excluding) 8.17.0-lp151.2.9.1
	运行在以下环境
	系统	oracle_8	npm	*		Up to (excluding) 1.18.3-1.module+el8.1.0+5392+4d6b561f
	运行在以下环境
	系统	redhat_8	npm	*		Up to (excluding) 10.19.0-1.module+el8.1.0+5726+6ed65f8c
查看完整数据

阿里云评分 2.7

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-269 特权管理不恰当