Rollup 4 Path-Traversal-Schwachstelle: Hochkritische Lücke ermöglicht beliebige Dateischreibvorgänge

Eine hochkritische Sicherheitslücke in der weit verbreiteten JavaScript-Bundling-Bibliothek Rollup ermöglicht Angreifern, beliebige Dateien auf dem betroffenen System zu schreiben. Die Path-Traversal-Schwachstelle (CWE-22) betrifft alle Versionen von Rollup 4.0.0 bis einschließlich 4.58.0 und wird mit einem hohen Schweregrad bewertet. Sie kann über speziell gestaltete Eingaben ausgenutzt werden, um die Einschränkung von Pfadnamen auf ein geschütztes Verzeichnis zu umgehen.

Das Paket `rollup` wird häufig als Build-Tool verwendet, insbesondere indirekt über das beliebte Frontend-Tool Vite. Die Schwachstelle ist in der Transitivabhängigkeit `node_modules/rollup` enthalten, was bedeutet, dass viele Entwickler sie möglicherweise unbewusst in ihren Projekten nutzen, ohne Rollup direkt installiert zu haben. Die offizielle Advisory GHSA-mw96-cpmx-2vgc beschreibt das Risiko detailliert.

Die Entdeckung setzt Entwicklerteams unter Druck, ihre Abhängigkeiten sofort zu überprüfen und zu aktualisieren. Da Rollup ein zentrales Werkzeug in der modernen JavaScript-Entwicklungs-Pipeline ist, erhöht diese Lücke das Risiko für eine breite Palette von Webanwendungen und Projekten, die auf Vite oder ähnliche Tools aufsetzen. Ungepatchte Systeme sind der Gefahr von Dateimanipulation und potenziell weiterführenden Angriffen ausgesetzt.