Rollup 4 Sicherheitslücke: Path Traversal erlaubt beliebiges Dateischreiben in Build-Prozessen

Eine kritische Schwachstelle in der weit verbreiteten JavaScript-Bundling-Bibliothek Rollup erlaubt Angreifern, beliebige Dateien auf dem Dateisystem zu schreiben. Die Path-Traversal-Lücke (CWE-22) betrifft alle Rollup-Versionen von 4.0.0 bis einschließlich 4.58.1 und wurde mit der Hochstufung GHSA-mw96-cpmx-2vgc als 'High'-Sicherheitsrisiko eingestuft. Das Kernproblem: Durch Manipulation von Eingabepfaden kann ein Angreifer den Build-Prozess umgehen und Schreibzugriff auf sensible Systembereiche erlangen.

Die Abhängigkeitskette macht die Lücke besonders relevant. Rollup wird häufig als transitive Abhängigkeit von Build-Tools wie Vite eingebunden, wie im Beispiel `[email protected] → [email protected]`. Obwohl es sich oft um eine Development-Dependency handelt, stellt die Schwachstelle ein konkretes Risiko in automatisierten CI/CD-Pipelines und Build-Servern dar, sobald diese nicht vertrauenswürdige Eingaben verarbeiten. Die potenziellen Folgen reichen von der Manipulation von Build-Artefakten bis hin zur Ausführung von beliebigem Code auf dem betroffenen System.

Für Entwicklerteams und Organisationen bedeutet dies unmittelbaren Handlungsdruck. Ein Fix ist über `npm audit fix` verfügbar und stellt laut Advisory kein Breaking Change dar. Die Aktualisierung auf Rollup 4.59.0 oder höher schließt die Lücke. Unternehmen müssen nun prüfen, ob ihre Build-Umgebungen, insbesondere jene, die mit externen Quellen oder Nutzereingaben interagieren, von der veralteten Rollup-Version abhängen und die Updates priorisieren, um ihre Software-Lieferketten zu härten.