ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Pagkahuyang sa pac-resolver NPM nga pakete nga adunay 3 milyon nga pag-download matag semana

Pagkahuyang sa pac-resolver NPM nga pakete nga adunay 3 milyon nga pag-download matag semana

Ang pac-resolver NPM nga pakete, nga adunay sobra sa 3 milyon nga mga pag-download matag semana, adunay usa ka pagkahuyang (CVE-2021-23406) nga nagtugot sa JavaScript code niini nga ipatuman sa konteksto sa aplikasyon kung magpadala mga hangyo sa HTTP gikan sa mga proyekto sa Node.js nga pagsuporta sa proxy server auto-configuration function.

Ang pac-resolver nga pakete nag-parse sa mga PAC nga mga file nga naglakip sa usa ka awtomatikong proxy configuration script. Ang PAC file adunay regular nga JavaScript code nga adunay function nga FindProxyForURL nga naghubit sa lohika sa pagpili sa usa ka proxy depende sa host ug sa gihangyo nga URL. Ang esensya sa pagkahuyang mao nga aron ipatuman kini nga JavaScript code sa pac-resolver, gigamit ang VM API nga gihatag sa Node.js, nga nagtugot kanimo sa pag-execute sa JavaScript code sa lahi nga konteksto sa V8 engine.

Ang gipiho nga API tin-aw nga gimarkahan sa dokumentasyon nga dili gituyo alang sa pagpadagan sa dili kasaligan nga code, tungod kay wala kini maghatag kompleto nga pagbulag sa code nga gipadagan ug gitugotan ang pag-access sa orihinal nga konteksto. Nasulbad na ang isyu sa pac-resolver 5.0.0, nga gibalhin sa paggamit sa vm2 library, nga naghatag ug mas taas nga lebel sa isolation nga angayan sa pagpadagan sa dili kasaligang code.

Pagkahuyang sa pac-resolver NPM nga pakete nga adunay 3 milyon nga pag-download matag semana

Kung gigamit ang usa ka mahuyang nga bersyon sa pac-resolver, ang usa ka tig-atake pinaagi sa pagpadala sa usa ka espesyal nga gidisenyo nga PAC file mahimo’g makab-ot ang pagpatuman sa iyang JavaScript code sa konteksto sa code sa usa ka proyekto gamit ang Node.js, kung kini nga proyekto naggamit mga librarya nga adunay mga dependency. uban sa pac-resolver. Ang labing inila sa mga problemado nga librarya mao ang Proxy-Agent, nga gilista ingon usa ka dependency sa 360 nga mga proyekto, lakip ang urllib, aws-cdk, mailgun.js ug firebase-tools, nga mikabat sa kapin sa tulo ka milyon nga mga pag-download matag semana.

Kung ang usa ka aplikasyon nga adunay mga dependency sa pac-resolver nag-load sa usa ka PAC file nga gihatag sa usa ka sistema nga nagsuporta sa WPAD proxy automatic configuration protocol, unya ang mga tig-atake nga adunay access sa lokal nga network mahimong mogamit sa pag-apod-apod sa mga proxy setting pinaagi sa DHCP aron masulod ang mga malisyoso nga PAC file.

Source: opennet.ru

Idugang sa usa ka comment