د pac-resolver NPM بسته، چې په اونۍ کې له 3 ملیون څخه ډیر ډاونلوډونه لري، یو زیان منونکی (CVE-2021-23406) لري چې د دې جاواسکریپټ کوډ ته اجازه ورکوي چې د غوښتنلیک په شرایطو کې اجرا شي کله چې د Node.js پروژو څخه HTTP غوښتنې لیږل کیږي. د پراکسي سرور اتوماتیک تنظیم کولو فعالیت ملاتړ کوي.
د pac-solver کڅوړه د PAC فایلونه پارس کوي چې پکې د اتوماتیک پراکسي ترتیب سکریپټ شامل دي. د PAC فایل د FindProxyForURL فنکشن سره منظم جاوا سکریپټ کوډ لري چې د کوربه او غوښتل شوي URL پورې اړه لري د پراکسي غوره کولو منطق تعریفوي. د زیان مننې جوهر دا دی چې په pac-resolver کې د دې جاواسکریپټ کوډ اجرا کولو لپاره، په Node.js کې چمتو شوی VM API کارول شوی و، کوم چې تاسو ته اجازه درکوي د V8 انجن په مختلف شرایطو کې د JavaScript کوډ اجرا کړئ.
ټاکل شوی API په ښکاره ډول په اسنادو کې په نښه شوی چې د بې باوره کوډ چلولو لپاره نه دی، ځکه چې دا د چلولو کوډ بشپړ انزوا نه وړاندې کوي او اصلي شرایطو ته د لاسرسي اجازه ورکوي. مسله په pac-resolver 5.0.0 کې حل شوې، کوم چې د vm2 کتابتون کارولو لپاره لیږدول شوی، کوم چې د بې باوره کوډ چلولو لپاره د لوړې کچې انزوا چمتو کوي.
کله چې د pac-resolver زیانمنونکي نسخه کاروئ، یو برید کونکی د ځانګړي ډیزاین شوي PAC فایل لیږد له لارې کولی شي د Node.js په کارولو سره د پروژې د کوډ په شرایطو کې د خپل جاواسکریپټ کوډ اجرا ترلاسه کړي، که دا پروژه هغه کتابتونونه کاروي چې انحصار لري. د pac-solver سره. د ستونزو لرونکی کتابتونونو کې ترټولو مشهور د پراکسي ایجنټ دی، چې په 360 پروژو باندې د انحصار په توګه لیست شوی، په شمول د urllib، aws-cdk، mailgun.js او firebase-tools، په هره اونۍ کې له درې ملیون څخه ډیر ډاونلوډونه.
که چیرې یو غوښتنلیک چې د pac-resolver پورې تړاو لري د PAC فایل پورته کوي چې د سیسټم لخوا چمتو شوي چې د WPAD پراکسي اتوماتیک ترتیب پروتوکول ملاتړ کوي، نو بیا محلي شبکې ته د لاسرسي سره برید کونکي کولی شي د DHCP له لارې د پراکسي ترتیباتو ویش وکاروي ترڅو ناوړه PAC فایلونه داخل کړي.
سرچینه: opennet.ru