Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la instalación de paquetes en binarios existentes instalados globalmente en la CLI npm (CVE-2019-16777)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-269 Gestión de privilegios incorrecta
Fecha de publicación:
13/12/2019
Última modificación:
07/11/2023

Descripción

Las versiones de la CLI npm anteriores a 6.13.4 son vulnerables a una Sobrescritura de Archivos Arbitrarios. No puede impedir que los binarios existentes instalados globalmente sean sobrescritos por otras instalaciones de paquete. Por ejemplo, si un paquete fue instalado globalmente y creó un binario de servicio, cualquier instalación posterior de paquetes que también crea un binario de servicio sobrescribirá el binario de servicio anterior. Este comportamiento todavía es permitido en instalaciones locales y también por medio de scripts de instalación. Esta vulnerabilidad omite a un usuario que usa la opción de instalación --ignore-scripts.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:npmjs:npm:*:*:*:*:*:*:*:* 6.13.4 (excluyendo)
cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:graalvm:19.3.0.2:*:*:*:enterprise:*:*:*
cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:8.1:*:*:*:*:*:*:*