U pac-resolver NPM pac-resolver, chì hà più di 3 milioni di scaricamentu à settimana, hà una vulnerabilità (CVE-2021-23406) chì permette à u so codice JavaScript per esse eseguitu in u cuntestu di l'applicazione quandu invià richieste HTTP da prughjetti Node.js chì sustene a funzione di cunfigurazione automatica di u servitore proxy.
U pacchettu pac-resolver analizza i fugliali PAC chì includenu un script di cunfigurazione proxy automaticu. U schedariu PAC cuntene codice JavaScript regulare cù una funzione FindProxyForURL chì definisce a logica per sceglie un proxy secondu l'ospitu è l'URL dumandatu. L'essenza di a vulnerabilità hè chì per eseguisce stu codice JavaScript in pac-resolver, l'API VM furnita in Node.js hè stata utilizata, chì permette di eseguisce codice JavaScript in un cuntestu sfarente di u mutore V8.
L'API specificata hè marcata esplicitamente in a ducumentazione cum'è micca destinata à eseguisce un codice micca fiduciale, postu chì ùn furnisce micca un isolamentu cumpletu di u codice in esecuzione è permette l'accessu à u cuntestu originale. U prublema hè stata risolta in pac-resolver 5.0.0, chì hè stata spustata per utilizà a biblioteca vm2, chì furnisce un livellu più altu di isolamentu adattatu per eseguisce codice micca fiduciale.
Quandu si usa una versione vulnerabile di pac-resolver, un attaccu, per via di a trasmissione di un schedariu PAC apposta, pò ottene l'esecuzione di u so codice JavaScript in u cuntestu di u codice di un prughjettu cù Node.js, se stu prughjettu usa biblioteche chì dipende da pac-resolver. U più pupulare di e biblioteche problematiche hè Proxy-Agent, chì hè listatu cum'è una dependenza nantu à i prughjetti 360, cumprese urllib, aws-cdk, mailgun.js è firebase-tools, per un totale di più di trè milioni di scaricamentu à settimana.
Se una applicazione chì hà dipendenze di pac-resolver scarica un schedariu PAC furnitu da un sistema chì sustene u protocolu di cunfigurazione automatica proxy WPAD, allora l'attaccanti cù accessu à a reta lucale ponu utilizà a distribuzione di paràmetri proxy via DHCP per inserisce i fugliali PAC maliziusi.
Source: opennet.ru