Sarcina nodi-netmask NPM, quae circiter 3 decies centena millia downloads per hebdomadam habet et quasi dependentia plus quam 270 milia in GitHub incepta habet, vulnerabilitatem habet (CVE-2021-28918) qui permittit ut stimulos praeterire qui retemask utuntur. determinare eventus oratio iugis vel eliquare. Agitur in solutione nodi netmask 2.0.0.
Faciendi vulnerabilitas efficit ut inscriptio externa IP pertractetur sicut oratio ab interna retis et vice versa, et cum quadam logica moduli nodi netmask adhibendi in applicatione ad SSRF exequendi (inhibitionem falsitatis servientis), RFI (Tabellae remotae Inclusio) et LFI (Locus File Inclusion) oppugnat) ad facultates in retiaculis internis accessere et includere fasciculos externos vel locales in catena exsecutionis. Problema est secundum specificationem, valores electronici chordae incipientes a nulla interpretatione ut numeri octal, sed moduli nodi netmask hoc in ratione non accipit et pro numeris decimalibus tractat.
Exempli gratia, oppugnator subsidium localem postulare potuit specificando valorem "0177.0.0.1", quod correspondet "127.0.0.1", sed modulus "nodi-netmask" nullum abiiciet ac tractabit 0177.0.0.1β³ sicut " 177.0.0.1", quae in applicatione cum regulas aestimandi accessum, identitatem cum "127.0.0.1" determinare non poterit. Similiter oppugnator inscriptionem "0127.0.0.1" exprimere potest, quae idem debet esse cum "87.0.0.1", sed in modulo "127.0.0.1" tractabitur. Similiter perscriptio potes fallere per accessum ad inscriptiones intraneas specificando valores sicut "012.0.0.1" (aequivalet ad "10.0.0.1", sed procedendum erit ut 12.0.0.1 in perscriptio).
Inquisitores qui problema identificaverunt quaestionem catastrophicam vocant et plures missiones oppugnationes praebent, sed plerique speculativam spectant. Exempli gratia, loquitur de possibilitate oppugnandi Node.js-fundatur applicationis quae nexus externos constituit petendi subsidia in parametris vel data petitionis initus, sed applicatio nominatim vel expressa non est. Etiamsi inveneris applicationes quae facultates onerant in inscriptionibus IP intrantibus fundatae, non plane liquet quomodo vulnerabilitas in usu adhiberi potest sine connectens cum retis localibus vel sine potestate "speculi" IP inscriptionum.
Inquisitores solum supponunt possessores 87.0.0.1 (Telecom Italia) et 0177.0.0.1 (Brasil Telecom) restrictionem accessum praeterire possunt ad 127.0.0.1. Missionis melioris realistica est vulnerabilitatem uti ad varias applicationes laterales indicem tabularum praeterire. Quaestio etiam applicari potest ad definitionem vagationum intranearum in moduli NPM "privati-ip" communicandam.
Source: opennet.ru