Der er fundet en sårbarhed i NPM's command line-værktøj, NPM CLI, der kan give hackere mulighed for at kunne ændre filer hos brugere, der har installeret en ondsindet pakke, skriver The Register.
Virksomheden NPM Inc. har onsdag været ude med en advarsel, der kommer oven i de to andre allerede kendte sikkerhedsbrister.
NPM, der bruges til at håndtere pakker i Javascript, giver brugere mulighed for både at lave og bruge Javascript-moduler.
Det er ifølge pressemeddelelsen et sikkerhedshul, der via en adgang fra /usr/local/bin, hvor brugerens egne programmer hører hjemme, kan give udefrakommende adgang til brugernes filer.
Formildende omstændigheder
Firmaet skriver også, at det er formildende, at brugeren selv skal installere en pakke, for at sårbarheden kan udnyttes.
NPM er kommet med en opdatering, version 6.13.4, der gør, at det ikke længere bliver muligt at omskrive brugerens filer.
Det var udvikleren David Ruf, der fandt sikkerhedsbristen og publicerede den på sin blog.
Her fremviste han også, hvordan man kunne ændre i brugerens data, så en angriber kan få adgang.
