Уязвимость в NPM, приводящая к перезаписи файлов в системе

Уязвимость в NPM, приводящая к перезаписи файлов в системе

Компания GitHub раскрыла подробности о семи уязвимостях в пакетах tar и @npmcli/arborist, предоставляющих функции для работы с tar-архивами и расчета дерева зависимостей в Node.js. Уязвимости позволяют при распаковке специально оформленного архива перезаписать файлы за пределами корневого каталога, в который осуществляется…

Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю

Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю

В NPM-пакете pac-resolver, насчитывающем более 3 млн загрузок в неделю, выявлена уязвимость (CVE-2021-23406), которая позволяет добиться выполнения своего JavaScript-кода в контексте приложения при отправке HTTP-запросов из Node.js-проектов, поддерживающих функцию автонастройки прокси-сервера. Пакет pac-resolver осуществляет разбор PAC-файлов, включающих сценарий автоматической настройки…

GitHub успешно завершил сделку по покупке NPM

Компания GitHub Inc, принадлежащая Microsoft и функционирующая в качестве независимого бизнес-подразделения, объявила об успешном завершении сделки по покупке бизнеса компании NPM Inc, контролирующей разработку пакетного менеджера NPM и занимающейся поддержанием репозитория NPM. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около…