Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - package-lock.json の依存関係情報が package.json と異なる場合でも、npm 7.x および 8.x から 8.1.3 の npm ci コマンドはインストールを続行します。この動作はドキュメントと一致しておらず、package-lock.json の正確なバージョン一致要件によってブロックされているはずのマルウェアを攻撃者がインストールしやすくします。注意: npm チームは、これは脆弱性ではないと考えています。これには、だれかが package-lock.json とは異なる依存関係を持つ package.json をソーシャルエンジニアリングする必要があります。そのユーザーは、依存関係を変更するためにファイルシステムまたは書き込みアクセス権を持っている必要があります。
    npm チームによると、悪意のある攻撃者によるソーシャルエンジニアリングやファイルシステムへのアクセスを阻止することは、npm CLI の範囲外です。(CVE-2021-43616)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2021-43616

critical Nessus プラグイン ID 224240

バージョン 1.3