L’équipe de sécurité de GitHub a identifié plusieurs vulnérabilités de haute gravité dans les packages npm, « tar » et « @npmcli/arborist », utilisés par npm CLI.

Les le goudron package reçoit en moyenne 20 millions de téléchargements hebdomadaires, alors que arboriculteur est téléchargé plus de 300 000 fois par semaine.

Les vulnérabilités affectent à la fois les utilisateurs Windows et Unix et, si elles ne sont pas corrigées, peuvent être exploitées par des attaquants pour exécuter du code arbitraire sur un système installant des packages npm non fiables.

Les chasseurs de bugs reçoivent 14 500 $ pour les bordereaux ZIP

Entre juillet et août de cette année, les chercheurs en sécurité et les chasseurs de bugs Robert Chen et Philip Papurt ont identifié des vulnérabilités d’exécution de code arbitraire dans les packages open source Node.js, le goudron et @npmcli/arboriste.

Lors de la découverte de ces vulnérabilités, les chercheurs ont notifié npm en privé via l’un des programmes de bug bounty de GitHub.

Lors d’un examen plus approfondi des rapports des chercheurs, l’équipe de sécurité de GitHub a trouvé des vulnérabilités de plus haute gravité dans les packages susmentionnés, affectant à la fois les systèmes Windows et Unix.

Paquet Node.js le goudron reste une dépendance de base pour les installateurs qui doivent décompresser les packages npm après l’installation. Le package est également utilisé par des milliers d’autres projets open source et, en tant que tel, reçoit environ 20 millions de téléchargements chaque semaine. Les arboriculteur package est une dépendance de base sur laquelle s’appuie npm CLI et est utilisé pour gérer node_modules des arbres.

Ces vulnérabilités de glissement ZIP posent un problème aux développeurs qui installent des packages npm non approuvés à l’aide de la CLI npm ou à l’aide de « tar » pour extraire des packages non approuvés.

Par défaut, les packages npm sont expédiés au format .tar.gz ou .tgz fichiers qui sont des archives de type ZIP et doivent donc être extraits par les outils d’installation.

Les outils d’extraction de ces archives devraient idéalement garantir que les chemins malveillants au sein de l’archive ne finissent pas par écraser les fichiers existants, en particulier le…