Vulnerabilidad en npm CLI (CVE-2019-16775)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

13/12/2019

Última modificación:

07/11/2023

Descripción

Las versiones del npm CLI en versiones anteriores a la 6.13.3 son vulnerables a una escritura de archivo arbitraria. Es posible que los paquetes creen enlaces simbólicos a archivos fuera de la carpeta thenode_modules a través del campo bin al momento de la instalación. Una entrada construida correctamente en el campo bin de package.json permitiría a un editor de paquetes crear un enlace simbólico que apunte a archivos arbitrarios en el sistema de un usuario cuando se instala el paquete. Este comportamiento todavía es posible mediante los scripts de instalación. Esta vulnerabilidad evita que un usuario utilice la opción de instalación --ignore-scripts.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

4.00

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:redhat:enterprise_linux:8.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_eus:8.1:::::::*
cpe:2.3:a:npmjs:npm::::::::		6.13.3 (excluyendo)
cpe:2.3:o:opensuse:leap:15.1:::::::*
cpe:2.3:a:oracle:graalvm:19.3.0.2::::enterprise:::
cpe:2.3:a:oracle:graalvm:20.3.3::::enterprise:::
cpe:2.3:a:oracle:graalvm:21.2.2::::enterprise:::
cpe:2.3:o:fedoraproject:fedora:31:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:o:redhat:enterprise_linux:8.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_eus:8.1:::::::*
cpe:2.3:a:npmjs:npm::::::::		6.13.3 (excluyendo)
cpe:2.3:o:opensuse:leap:15.1:::::::*
cpe:2.3:a:oracle:graalvm:19.3.0.2::::enterprise:::
cpe:2.3:a:oracle:graalvm:20.3.3::::enterprise:::
cpe:2.3:a:oracle:graalvm:21.2.2::::enterprise:::
cpe:2.3:o:fedoraproject:fedora:31:::::::*

Vulnerabilidad en npm CLI (CVE-2019-16775)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información