首頁 > 安全研究 > 安全通報 > 安全通告

npm CLI 安全漏洞風險通告

發布時間 2019-12-16

漏洞編號和級別


CVE編號: CVE-2019-16776,危險級別:高危,CVSS分值:官方未評定


影響版本


npm CLI <= 6.13.3


漏洞概述


npm CLI是一款軟件包管理器。


Npm 開發人員表示,npm 命令行界面(CLI)客戶端受到了安全漏洞的影響,同時包括文件遍歷和任意文件(覆蓋)寫入問題。攻擊者可以利用該錯誤來植入惡意二進制文件或覆蓋用戶計算機上的文件。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://github.com/npm/cli/security/advisories/GHSA-x8qc-rrcw-4r46


參考鏈接


https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/

上一篇 下一篇