Paket NPM pac-resolver, sing duwe luwih saka 3 yuta undhuhan saben minggu, nduweni kerentanan (CVE-2021-23406) sing ngidini kode JavaScript bisa dieksekusi ing konteks aplikasi nalika ngirim panjalukan HTTP saka proyek Node.js sing ndhukung fungsi konfigurasi otomatis server proxy.
Paket pac-resolver ngurai file PAC sing kalebu skrip konfigurasi proxy otomatis. File PAC ngemot kode JavaScript biasa kanthi fungsi FindProxyForURL sing nemtokake logika kanggo milih proxy gumantung saka host lan URL sing dijaluk. Inti saka kerentanan yaiku kanggo nglakokake kode JavaScript iki ing pac-resolver, API VM sing kasedhiya ing Node.js digunakake, sing ngidini sampeyan nglakokake kode JavaScript ing konteks mesin V8 sing beda.
API sing ditemtokake kanthi jelas ditandhani ing dokumentasi minangka ora dimaksudake kanggo mbukak kode sing ora dipercaya, amarga ora menehi isolasi lengkap kode sing ditindakake lan ngidini akses menyang konteks asli. Masalah wis ditanggulangi ing pac-resolver 5.0.0, sing dipindhah kanggo nggunakake perpustakaan vm2, sing nyedhiyakake tingkat isolasi sing luwih dhuwur sing cocog kanggo mbukak kode sing ora dipercaya.
Nalika nggunakake versi pac-resolver sing rawan, penyerang liwat transmisi file PAC sing dirancang khusus bisa entuk eksekusi kode JavaScript ing konteks kode proyek nggunakake Node.js, yen proyek iki nggunakake perpustakaan sing duwe dependensi. karo pac-resolver. Paling populer saka perpustakaan masalah iku Proxy-Agent, kadhaptar minangka katergantungan ing 360 proyèk, kalebu urllib, aws-cdk, mailgun.js lan firebase-alat, total luwih saka telung yuta download saben minggu.
Yen aplikasi sing duwe dependensi ing pac-resolver ngemot file PAC sing diwenehake dening sistem sing ndhukung protokol konfigurasi otomatis proxy WPAD, mula panyerang sing nduweni akses menyang jaringan lokal bisa nggunakake distribusi setelan proxy liwat DHCP kanggo nglebokake file PAC sing ala.
Source: opennet.ru