Platform
nodejs
Component
cli
Opgelost in
1.0.0
CVE-2016-10538 beschrijft een kwetsbaarheid van het type Arbitrary File Access in de cli component. Deze kwetsbaarheid stelt een aanvaller in staat om, door het creëren van symbolische links, willekeurige bestanden te overschrijven waarvoor de gebruiker die het cli proces uitvoert, schrijfrechten heeft. De kwetsbaarheid treft versies van cli vóór de release van de patch. Een upgrade naar versie 1.0.0 of hoger is vereist om dit probleem te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde wijzigingen aan bestanden op het systeem. Een aanvaller kan symbolische links gebruiken om kritieke systeembestanden of configuratiebestanden te overschrijven, wat kan resulteren in een compromittering van de hele applicatie of zelfs het besturingssysteem. De impact is afhankelijk van de rechten van de gebruiker die het cli proces uitvoert; bij root-rechten kan de aanvaller volledige controle over het systeem verkrijgen. Dit soort kwetsbaarheden kunnen vergelijkbaar zijn met scenario's waarbij configuratiebestanden worden gemanipuleerd om ongeautoriseerde toegang te krijgen.
Deze kwetsbaarheid is openbaar bekend en er is een proof-of-concept beschikbaar. Er is geen indicatie van actieve exploitatie in de wildernis op het moment van publicatie. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de aandacht voor deze kwetsbaarheid onderstreept. De publicatiedatum van de CVE is 2019-02-18.
Applications and systems utilizing the cli package, particularly those running in environments where the cli process has elevated privileges or access to sensitive data, are at risk. Shared hosting environments where multiple users share the same /tmp/ directory are particularly vulnerable.
• nodejs / server:
find /tmp/ -type l -print0 | xargs -0 ls -l | grep 'cli.app'• nodejs / server:
ps aux | grep 'cli' | grep /tmp• generic web:
Inspect /tmp/ directory for symbolic links with names related to cli.app.
discovery
disclosure
patch
Exploit Status
EPSS
0.32% (55% percentiel)
De primaire mitigatie is het upgraden van de cli component naar versie 1.0.0 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van de gebruiker die het cli proces uitvoert, om de impact van een succesvolle exploitatie te minimaliseren. Het monitoren van het bestandssysteem op onverwachte symbolische links kan ook helpen bij het detecteren van pogingen tot exploitatie. Na de upgrade, controleer de rechten van de cli-gebruiker en de bestanden waar deze toegang toe heeft om te bevestigen dat de mitigatie effectief is.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2016-10538 is a vulnerability in the cli package that allows attackers to write to arbitrary files if they can create symbolic links in the /tmp/ directory.
You are affected if you are using a version of the cli package prior to 1.0.0.
Upgrade the cli package to version 1.0.0 or later. Consider restricting write access for the cli process user as a temporary workaround.
While no active campaigns are definitively linked, the vulnerability's ease of exploitation makes it a potential target.
Refer to the package's release notes and associated security advisories for details on the fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.