O paquete pac-resolver NPM, que ten máis de 3 millóns de descargas por semana, ten unha vulnerabilidade (CVE-2021-23406) que permite executar o seu código JavaScript no contexto da aplicación cando se envían solicitudes HTTP desde proxectos Node.js que admite a función de configuración automática do servidor proxy.
O paquete pac-resolver analiza os ficheiros PAC que inclúen un script de configuración automática de proxy. O ficheiro PAC contén código JavaScript normal cunha función FindProxyForURL que define a lóxica para escoller un proxy dependendo do host e do URL solicitado. A esencia da vulnerabilidade é que para executar este código JavaScript en pac-resolver, utilizouse a API VM proporcionada en Node.js, que permite executar código JavaScript nun contexto diferente do motor V8.
A API especificada está marcada explícitamente na documentación como non destinada a executar código non fiable, xa que non proporciona un illamento completo do código que se está a executar e permite o acceso ao contexto orixinal. O problema resolveuse en pac-resolver 5.0.0, que se moveu para utilizar a biblioteca vm2, que proporciona un maior nivel de illamento adecuado para executar código non fiable.
Cando se utiliza unha versión vulnerable de pac-resolver, un atacante mediante a transmisión dun ficheiro PAC deseñado especialmente pode lograr a execución do seu código JavaScript no contexto do código dun proxecto que utiliza Node.js, se este proxecto utiliza bibliotecas que teñan dependencias. con pac-resolver. A máis popular das bibliotecas problemáticas é Proxy-Agent, listada como unha dependencia de proxectos 360, incluíndo urllib, aws-cdk, mailgun.js e firebase-tools, que suman máis de tres millóns de descargas por semana.
Se unha aplicación que ten dependencias de pac-resolver carga un ficheiro PAC proporcionado por un sistema que admite o protocolo de configuración automática do proxy WPAD, os atacantes con acceso á rede local poden utilizar a distribución de configuracións de proxy a través de DHCP para inserir ficheiros PAC maliciosos.
Fonte: opennet.ru