Pakêta NPM-ya pac-resolver, ku heftê zêdetirî 3 mîlyon dakêşan e, xwedan xisariyek (CVE-2021-23406) ye ku dihêle ku koda JavaScript-a wê di çarçoveya serîlêdanê de were darve kirin dema ku daxwazên HTTP ji projeyên Node.js dişîne ku fonksiyona veavakirina otomatîkî ya servera proxy piştgirî bike.
Pakêta pac-resolver pelên PAC-ê yên ku skrîptek veavakirina proxy-ya otomatîkî vedihewîne par dike. Pelê PAC koda JavaScriptê ya birêkûpêk bi fonksiyonek FindProxyForURL heye ku li gorî mêvandar û URL-ya daxwazkirî mantiqa hilbijartina proxy diyar dike. Esasê qelsbûnê ev e ku ji bo pêkanîna vê koda JavaScript-ê di pac-resolver de, VM API-ya ku di Node.js de hatî peyda kirin hate bikar anîn, ku dihêle hûn koda JavaScript-ê di çarçoveyek cihêreng a motora V8 de bicîh bikin.
API-ya diyarkirî bi eşkere di belgeyê de wekî ku ne ji bo xebitandina koda nebawer hatî destnîşan kirin, ji ber ku ew îzolasyona tam a koda ku tê xebitandin peyda nake û destûrê dide gihîştina çarçoweya bingehîn. Pirsgirêk di pac-resolver 5.0.0-ê de, ku ji bo karanîna pirtûkxaneya vm2-ê hatî veguheztin, ku ji bo xebitandina koda nebawer astek îzolasyonek bilindtir peyda dike, hatî çareser kirin.
Dema ku guhertoyek xedar a pac-resolver bikar tîne, êrîşkar bi veguheztina pelek PAC-ê ya taybetî hatî sêwirandin dikare di çarçoweya koda projeyek ku Node.js bikar tîne de koda JavaScript-a xwe bicîh bîne, heke ev proje pirtûkxaneyên ku pêwendiya wan hene bikar bîne. bi pac-resolver. Di nav pirtûkxaneyên pirsgirêkê de ya herî populer Proxy-Agent e, ku wekî pêwendiyek li ser 360 projeyan tête navnîş kirin, di nav de urllib, aws-cdk, mailgun.js û firebase-tools, ku her hefte zêdetirî sê mîlyon dakêşan hene.
Ger serîlêdanek ku bi pac-resolver ve girêdayî ye pelek PAC-ê ku ji hêla pergalek ku protokola veavakirina otomatîkî ya proxy WPAD piştgirî dike bar dike, wê hingê êrişkerên ku gihîştina tora herêmî dikarin belavkirina mîhengên proxy-ê bi riya DHCP-ê bikar bînin da ku pelên PAC-ê yên xerab têxin nav xwe.
Source: opennet.ru