Podatność CVE-2021-43616


Publikacja: 2021-11-13

Opis:
The npm ci command in npm 7.x and 8.x through 8.1.3 proceeds with an installation even if dependency information in package-lock.json differs from package.json. This behavior is inconsistent with the documentation, and makes it easier for attackers to install malware that was supposed to have been blocked by an exact version match requirement in package-lock.json.

Typ:

CWE-345

(Insufficient Verification of Data Authenticity)

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
7.5/10
6.4/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Npmjs -> NPM 

 Referencje:
https://docs.npmjs.com/cli/v7/commands/npm-ci
https://github.com/npm/cli/issues/2701
https://github.com/icatalina/CVE-2021-43616

Copyright 2024, cxsecurity.com

 

Back to Top