npm CLI 安全漏洞风险通告
发布时间 2019-12-16漏洞编号和级别
CVE编号: CVE-2019-16776,危险级别:高危,CVSS分值:官方未评定
影响版本
npm CLI <= 6.13.3
漏洞概述
npm CLI是一款软件包管理器。
Npm 开发人员表示,npm 命令行界面(CLI)客户端受到了安全漏洞的影响,同时包括文件遍历和任意文件(覆盖)写入问题。攻击者可以利用该错误来植入恶意二进制文件或覆盖用户计算机上的文件。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/npm/cli/security/advisories/GHSA-x8qc-rrcw-4r46
参考链接
https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/
京公网安备11010802024551号