Vigil@nce - Node.js Yarn : corruption de fichier via Package Install
février 2020 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/vulnerabilite-informatique
SYNTHÈSE DE LA VULNÉRABILITÉ
Produits concernés : Fedora, Nodejs Modules non exhaustif.
Gravité : 1/4.
Conséquences : création/modification de données.
Provenance : shell utilisateur.
Confiance : confirmé par l’éditeur (5/5).
Date de création : 10/02/2020.
DESCRIPTION DE LA VULNÉRABILITÉ
Un attaquant local peut créer un lien symbolique durant
l’opération Package Install, afin de modifier le fichier pointé,
avec les privilèges de Node.js Yarn.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Node-js-Yarn-corruption-de-fichier-via-Package-Install-31567