It pac-resolver NPM-pakket, dat mear as 3 miljoen downloads per wike hat, hat in kwetsberens (CVE-2021-23406) wêrtroch syn JavaScript-koade kin wurde útfierd yn 'e kontekst fan' e applikaasje by it ferstjoeren fan HTTP-oanfragen fan Node.js-projekten dy't stipe proxy tsjinner auto-konfiguraasje funksje.
It pac-resolverpakket parseart PAC-bestannen dy't in automatysk proxy-konfiguraasjeskript omfetsje. It PAC-bestân befettet reguliere JavaScript-koade mei in FindProxyForURL-funksje dy't de logika definiearret foar it kiezen fan in proxy ôfhinklik fan de host en de frege URL. De essinsje fan 'e kwetsberens is dat om dizze JavaScript-koade út te fieren yn pac-resolver, waard de VM API levere yn Node.js brûkt, wêrtroch jo JavaScript-koade kinne útfiere yn in oare kontekst fan' e V8-motor.
De spesifisearre API is yn 'e dokumintaasje eksplisyt markearre as net bedoeld foar it útfieren fan net-fertroude koade, om't it gjin folsleine isolaasje leveret fan' e koade dy't wurdt útfierd en tagong jout ta de oarspronklike kontekst. It probleem is oplost yn pac-resolver 5.0.0, dy't is ferpleatst om de vm2-bibleteek te brûken, dy't in heger nivo fan isolaasje leveret geskikt foar it útfieren fan net-fertroude koade.
By it brûken fan in kwetsbere ferzje fan pac-resolver, kin in oanfaller troch de oerdracht fan in spesjaal ûntwurpen PAC-bestân útfiering fan syn JavaScript-koade berikke yn 'e kontekst fan' e koade fan in projekt mei Node.js, as dit projekt biblioteken brûkt dy't ôfhinklikens hawwe mei pac-resolver. De populêrste fan 'e problematyske bibleteken is Proxy-Agent, neamd as ôfhinklikens fan 360 projekten, ynklusyf urllib, aws-cdk, mailgun.js en firebase-ark, yn totaal mear as trije miljoen downloads per wike.
As in applikaasje dy't ôfhinklikens hat fan pac-resolver in PAC-bestân laadt levere troch in systeem dat it automatyske konfiguraasjeprotokol fan WPAD-proxy stipet, dan kinne oanfallers mei tagong ta it lokale netwurk de ferdieling fan proxy-ynstellings fia DHCP brûke om kweade PAC-bestannen yn te foegjen.
Boarne: opennet.ru