PT-2020-9730 · Yarn+1 · Yarn+1

Publicado

2020-03-01

·

Atualizado

2022-02-09

·

CVE-2019-15608

CVSS v3.1

5.9

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do yarn anteriores à 1.19.0
Descrição
O problema diz respeito a uma vulnerabilidade TOCTOU na validação da integridade do pacote. Essa vulnerabilidade ocorre porque o hash é calculado antes de gravar um pacote no cache, mas não é calculado novamente ao ler do cache. Isso pode levar a um ataque de contaminação de cache.
Recomendações
Para versões anteriores à 1.19.0, atualize para a versão 1.19.0 para resolver o problema.

Exploit

Correção

Time Of Check To Time Of Use

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-367CWE-840

Identificadores relacionados

ALT-PU-2020-1415
ALT-PU-2020-1988
CVE-2019-15608
GHSA-HJXC-462X-X77J

Produtos afetados

Alt Linux
Yarn