Involucrum pac-resolvens NPM, quod plus quam 3 decies centena millia downloads per hebdomadam habet, vulnerabilitatem habet (CVE-2021-23406) qui suum JavaScript codicem exsecutioni dat in contextu applicationis cum petitiones HTTP mittens e Node.js inceptis quae support procuratorio servientis auto- configurationis munus.
Involucrum pac-resolventis parses PAC imaginum quae scriptam configurationem procuratorem latae includunt. Fasciculus PAC regularis JavaScript codicem continet cum functione FindProxyForURL quae logicam definit rationem eligens procuratorem secundum exercitum et URL rogatum. Essentia vulnerabilitas est illud exsequi JavaScript codicem in pac-resolver, in VM API provisum in Node.js adhibitum est, quod permittit te exsequi JavaScript codicem in alio contextu machinae V8.
Definitum API in documentis expresse notatur quod non destinatur ad currendum in codice incerti, quia non praebet integram solutionem codici currentis et aditum ad contextum originalis concedit. Quaestio soluta est in pac-resolvente 5.0.0, quae ad bibliothecam vm2 utendam mota est, quae altiori gradu segregationis aptam praebet ad currit intrusum codicem.
Cum versione vulnerabili pac-resolver utens, oppugnator per transmissionem fasciculi speciali designati PAC consequi potest executionem sui JavaScript codicem in contextu codicis propositi utens Node.js, si hoc project utitur bibliothecas qui dependentias habent. apud pac-resolver. Maxime popularis bibliothecarum problematicorum est Proxy-Agent, dependentia ab 360 inceptis, inclusa urllib, aws-cdk, mailgun.js et instrumentorum incendia, plus quam tres miliones downloads per hebdomada.
Si applicatio quae clientelas in pac-resolvens onerat, fasciculi PAC proviso systema, quod procuratorem automaticum protocollum WPAD sustinet, oppugnatores cum accessu ad network locali distributio procuratoris occasus per DHCP uti possunt, ut malignos PAC limas insereret.
Source: opennet.ru