Pac-resolver NPM paketeak, astean 3 milioi deskarga baino gehiago dituena, ahultasun bat du (CVE-2021-23406) bere JavaScript kodea aplikazioaren testuinguruan exekutatzea ahalbidetzen duena Node.js proiektuetatik HTTP eskaerak bidaltzean. proxy zerbitzariaren autokonfigurazio funtzioa onartzen du.
Pac-resolver paketeak proxy automatikoko konfigurazio script bat duten PAC fitxategiak analizatzen ditu. PAC fitxategiak JavaScript kodea ohikoa du FindProxyForURL funtzio batekin, proxy bat aukeratzeko logika definitzen duena ostalariaren eta eskatutako URLaren arabera. Ahultasunaren funtsa da JavaScript kode hau pac-resolver-en exekutatzeko, Node.js-en emandako VM APIa erabili zela, eta horrek JavaScript kodea V8 motorraren beste testuinguru batean exekutatzeko aukera ematen du.
Zehaztutako APIa espresuki markatuta dago dokumentazioan ez dela fidagarria den kodea exekutatzeko pentsatuta, ez baitu exekutatzen ari den kodea erabat isolatzen eta jatorrizko testuingurura sarbidea ahalbidetzen baitu. Arazoa pac-resolver 5.0.0-n konpondu da, vm2 liburutegia erabiltzera eraman dena, fidagarria ez den kodea exekutatzeko egokia den isolamendu maila altuagoa eskaintzen duena.
Pac-resolver-en bertsio zaurgarria erabiltzean, erasotzaile batek bereziki diseinatutako PAC fitxategi baten transmisioaren bidez bere JavaScript kodea exekutatu dezake Node.js erabiliz proiektu baten kodearen testuinguruan, proiektu honek mendekotasunak dituzten liburutegiak erabiltzen baditu. pac-resolver batekin. Liburutegi problematikoen artean ezagunena Proxy-Agent da, 360 proiekturen menpekotasun gisa zerrendatua, urllib, aws-cdk, mailgun.js eta firebase-tools barne, astean hiru milioi deskarga baino gehiagorekin.
Pac-resolver-en menpekotasunak dituen aplikazio batek WPAD proxy konfigurazio automatikoko protokoloa onartzen duen sistema batek emandako PAC fitxategi bat kargatzen badu, sare lokalera sarbidea duten erasotzaileek proxy ezarpenen banaketa erabil dezakete DHCP bidez PAC fitxategi gaiztoak txertatzeko.
Iturria: opennet.ru