Il-pakkett NPM pac-resolver, li għandu aktar minn 3 miljun download fil-ġimgħa, għandu vulnerabbiltà (CVE-2021-23406) li tippermetti li l-kodiċi JavaScript tiegħu jiġi esegwit fil-kuntest tal-applikazzjoni meta jintbagħtu talbiet HTTP minn proġetti Node.js li appoġġ proxy server funzjoni awto-konfigurazzjoni.
Il-pakkett pac-resolver janalizza fajls PAC li jinkludu skript ta' konfigurazzjoni ta' prokura awtomatika. Il-fajl PAC fih kodiċi JavaScript regolari b'funzjoni FindProxyForURL li tiddefinixxi l-loġika għall-għażla ta' prokura skont l-host u l-URL mitlub. L-essenza tal-vulnerabbiltà hija li biex tesegwixxi dan il-kodiċi JavaScript f'pac-resolver, intużat l-API VM ipprovduta f'Node.js, li tippermettilek tesegwixxi kodiċi JavaScript f'kuntest differenti tal-magna V8.
L-API speċifikata hija mmarkata b'mod espliċitu fid-dokumentazzjoni bħala mhux maħsuba għat-tħaddim ta' kodiċi mhux affidabbli, peress li ma tipprovdix iżolament sħiħ tal-kodiċi li qed jitħaddem u tippermetti aċċess għall-kuntest oriġinali. Il-kwistjoni ġiet solvuta f'pac-resolver 5.0.0, li ġie mċaqlaq biex juża l-librerija vm2, li tipprovdi livell ogħla ta 'iżolament adattat għat-tħaddim ta' kodiċi mhux affidabbli.
Meta tuża verżjoni vulnerabbli ta' pac-resolver, attakkant permezz tat-trażmissjoni ta' fajl PAC iddisinjat apposta jista' jikseb l-eżekuzzjoni tal-kodiċi JavaScript tiegħu fil-kuntest tal-kodiċi ta' proġett li juża Node.js, jekk dan il-proġett juża libreriji li għandhom dipendenzi. ma pac-resolver. L-aktar popolari mil-libreriji problematiċi huwa Proxy-Agent, elenkat bħala dipendenza fuq 360 proġett, inklużi urllib, aws-cdk, mailgun.js u firebase-tools, li jammontaw għal aktar minn tliet miljun download fil-ġimgħa.
Jekk applikazzjoni li għandha dipendenzi fuq pac-resolver tgħabbi fajl PAC ipprovdut minn sistema li tappoġġja l-protokoll ta 'konfigurazzjoni awtomatika proxy WPAD, allura l-attakkanti b'aċċess għan-netwerk lokali jistgħu jużaw id-distribuzzjoni tas-settings tal-prokura permezz tad-DHCP biex jiddaħħlu fajls PAC malizzjużi.
Sors: opennet.ru