Mae'r pecyn NPM pac-resolver, sydd Γ’ dros 3 miliwn o lawrlwythiadau yr wythnos, yn agored i niwed (CVE-2021-23406) sy'n caniatΓ‘u i'w god JavaScript gael ei weithredu yng nghyd-destun y cais wrth anfon ceisiadau HTTP gan brosiectau Node.js sy'n cefnogi swyddogaeth auto-ffurfweddu gweinydd dirprwyol.
Mae'r pecyn pac-resolver yn dosrannu ffeiliau PAC sy'n cynnwys sgript ffurfweddu dirprwy awtomatig. Mae'r ffeil PAC yn cynnwys cod JavaScript rheolaidd gyda swyddogaeth FindProxyForURL sy'n diffinio'r rhesymeg ar gyfer dewis dirprwy yn dibynnu ar y gwesteiwr a'r URL y gofynnwyd amdano. Hanfod y bregusrwydd yw, er mwyn gweithredu'r cod JavaScript hwn mewn pac-resolver, defnyddiwyd yr API VM a ddarperir yn Node.js, sy'n eich galluogi i weithredu cod JavaScript mewn cyd-destun gwahanol o'r injan V8.
Mae'r API penodedig wedi'i farcio'n benodol yn y ddogfennaeth fel un nad yw wedi'i fwriadu ar gyfer rhedeg cod nad yw'n ymddiried ynddo, gan nad yw'n darparu arwahanrwydd llwyr y cod sy'n cael ei redeg ac yn caniatΓ‘u mynediad i'r cyd-destun gwreiddiol. Mae'r mater wedi'i ddatrys yn pac-resolver 5.0.0, sydd wedi'i symud i ddefnyddio'r llyfrgell vm2, sy'n darparu lefel uwch o ynysu sy'n addas ar gyfer rhedeg cod di-ymddiried.
Wrth ddefnyddio fersiwn bregus o pac-resolver, gall ymosodwr trwy drosglwyddo ffeil PAC a ddyluniwyd yn arbennig gyflawni ei god JavaScript yng nghyd-destun cod prosiect sy'n defnyddio Node.js, os yw'r prosiect hwn yn defnyddio llyfrgelloedd sydd Γ’ dibyniaethau gyda pac-datryswr. Y mwyaf poblogaidd o'r llyfrgelloedd problemus yw Proxy-Agent, a restrir fel dibyniaeth ar 360 o brosiectau, gan gynnwys urllib, aws-cdk, mailgun.js a firebase-tools, sy'n dod i gyfanswm o fwy na thair miliwn o lawrlwythiadau yr wythnos.
Os yw cymhwysiad sy'n dibynnu ar pac-resolver yn llwytho ffeil PAC a ddarperir gan system sy'n cefnogi protocol cyfluniad awtomatig dirprwy WPAD, yna gall ymosodwyr sydd Γ’ mynediad i'r rhwydwaith lleol ddefnyddio dosbarthiad gosodiadau dirprwy trwy DHCP i fewnosod ffeiliau PAC maleisus.
Ffynhonnell: opennet.ru