Plateforme
nodejs
Composant
cli
Corrigé dans
1.0.0
La vulnérabilité CVE-2016-10538 concerne un accès arbitraire de fichiers dans le module cli. Elle exploite l'utilisation de noms de fichiers temporaires prévisibles, permettant à un attaquant, via la création de liens symboliques, d'écrire dans des fichiers auxquels l'utilisateur exécutant cli a des droits d'écriture. Cette vulnérabilité affecte les versions antérieures à 1.0.0 et peut être corrigée en effectuant une mise à jour vers la version 1.0.0 ou ultérieure.
Cette vulnérabilité permet à un attaquant d'écrire dans des fichiers arbitraires sur le système, à condition qu'il puisse créer un lien symbolique au niveau des fichiers temporaires utilisés par cli. L'impact est significatif car cela peut conduire à la compromission du système, à la modification de fichiers de configuration critiques, ou à l'exécution de code malveillant. La capacité d'écrire dans des fichiers arbitraires ouvre la porte à une prise de contrôle complète du système, en particulier si les fichiers cibles contiennent des informations sensibles ou des scripts exécutables. Bien que la CVSS score soit faible, l'exploitation est relativement simple et peut avoir des conséquences graves.
Cette vulnérabilité a été rendue publique en 2019. Il n'y a pas d'indications d'une exploitation active à grande échelle, mais la simplicité de l'exploitation et la présence d'un proof-of-concept public la rendent potentiellement dangereuse. Elle n'est pas répertoriée sur le KEV de CISA. La publication du CVE a eu lieu le 18 février 2019.
Applications and systems utilizing the cli package, particularly those running in environments where the cli process has elevated privileges or access to sensitive data, are at risk. Shared hosting environments where multiple users share the same /tmp/ directory are particularly vulnerable.
• nodejs / server:
find /tmp/ -type l -print0 | xargs -0 ls -l | grep 'cli.app'• nodejs / server:
ps aux | grep 'cli' | grep /tmp• generic web:
Inspect /tmp/ directory for symbolic links with names related to cli.app.
discovery
disclosure
patch
Statut de l'Exploit
EPSS
0.32% (percentile 55%)
La mitigation principale consiste à mettre à jour le module cli vers la version 1.0.0 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une mesure temporaire peut consister à restreindre les permissions d'écriture pour l'utilisateur exécutant cli, limitant ainsi l'impact potentiel d'une exploitation réussie. Il est également recommandé de surveiller les tentatives de création de liens symboliques dans les répertoires temporaires. Après la mise à jour, vérifiez que les fichiers temporaires utilisent des noms aléatoires et non prévisibles.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2016-10538 is a vulnerability in the cli package that allows attackers to write to arbitrary files if they can create symbolic links in the /tmp/ directory.
You are affected if you are using a version of the cli package prior to 1.0.0.
Upgrade the cli package to version 1.0.0 or later. Consider restricting write access for the cli process user as a temporary workaround.
While no active campaigns are definitively linked, the vulnerability's ease of exploitation makes it a potential target.
Refer to the package's release notes and associated security advisories for details on the fix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.