Business Security

Jahrelange Sicherheitslücke im JavaScript-Repository NPM

Über die jetzt entdeckte Lücke war es jahrelang möglich, fremde JavaScript-Pakete durch eigene Versionen zu überschreiben.

Die Microsoft-Tochter Github, Betreiberin des JavaScript-Paketregisters NPM, meldet eine gravierende Sicherheitslücke in NPM: Mindestens seit September 2020 konnten NPM-Benutzer nach ihrer Anmeldung aufgrund eines Bugs neue Versionen beliebiger Pakete hochladen.

Wie Githubs Chief Security Officer Mike Hanley in einem Blogbeitrag erklärt, haben Kajetan Grzybowski and Maciej Piechota die Lücke im Rahmen des Security Bug Bounty Program entdeckt. Sie wurde mit hoher Wahrscheinlichkeit nicht ausgenutzt, solange sich das über das eigene Monitoring nachweisen lässt. Allerdings reicht das nur bis September 2020 zurück, und die Lücke besteht bereits länger – wie lange genau, sagt Hanley nicht.

Quelle: heise online Redaktion

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben