Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en npm CLI (CVE-2019-16775)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/12/2019
Última modificación:
07/11/2023

Descripción

Las versiones del npm CLI en versiones anteriores a la 6.13.3 son vulnerables a una escritura de archivo arbitraria. Es posible que los paquetes creen enlaces simbólicos a archivos fuera de la carpeta thenode_modules a través del campo bin al momento de la instalación. Una entrada construida correctamente en el campo bin de package.json permitiría a un editor de paquetes crear un enlace simbólico que apunte a archivos arbitrarios en el sistema de un usuario cuando se instala el paquete. Este comportamiento todavía es posible mediante los scripts de instalación. Esta vulnerabilidad evita que un usuario utilice la opción de instalación --ignore-scripts.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:8.1:*:*:*:*:*:*:*
cpe:2.3:a:npmjs:npm:*:*:*:*:*:*:*:* 6.13.3 (excluyendo)
cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:graalvm:19.3.0.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:oracle:graalvm:20.3.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:oracle:graalvm:21.2.2:*:*:*:enterprise:*:*:*
cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*