`@npmcli/arborist`, библиотека, которая вычисляет деревья зависимостей и управляет иерархией папок `node_modules` для интерфейса командной …

`@npmcli/arborist`, библиотека, которая вычисляет деревья зависимостей и управляет иерархией папок `node_modules` для интерфейса командной строки npm, стремится гарантировать, что контракты зависимостей пакета будут выполнены, и извлечение содержимого пакета всегда будет выполняться в ожидаемую папку. Это, частично, достигается путем разрешения спецификаторов зависимостей, определенных в манифестах `package.json` для зависимостей с определенным именем, и вложения папок для разрешения конфликтующих зависимостей. Когда несколько зависимостей отличаются только регистром их имени, внутренняя структура данных Arborist видела их как отдельные элементы, которые могут сосуществовать на одном уровне в иерархии `node_modules`. Однако в файловых системах, нечувствительных к регистру (таких как macOS и Windows), это не так. В сочетании с зависимостью символической ссылки, такой как `file:/some/path`, это позволяло злоумышленнику создать ситуацию, в которой произвольное содержимое могло быть записано в любое место в файловой системе. Например, пакет `pwn-a` может определить зависимость в своем файле `package.json`, такую как `"foo": "file:/some/path"`. Другой пакет, `pwn-b`, может определить зависимость, такую как `FOO: "file:foo.tgz"`. В файловых системах, нечувствительных к регистру, если `pwn-a` был установлен, а затем `pwn-b` был установлен после него, содержимое `foo.tgz` будет записано в `/some/path`, и любое существующее содержимое `/some/path` будет удалено. Любой, кто использует npm v7.20.6 или более раннюю версию в файловой системе, нечувствительной к регистру, потенциально подвержен уязвимости. Это исправлено в @npmcli/arborist 2.8.2, который включен в npm v7.20.7 и выше.