Xirmada NPM node-netmask, oo leh ilaa 3 milyan oo la soo dejiyo usbuucii oo loo isticmaalo ku tiirsanaanta in ka badan 270 kun oo mashruuc oo GitHub ah, waxay leedahay nuglaanta (CVE-2021-28918) taas oo u oggolaanaysa inay dhaafto jeegaga isticmaalaya netmask si loo go'aamiyo dhacdada wax looga qabanayo kala duwanaanta ama shaandhaynta. Arrintu waxay ku go'an tahay siideynta node-netmask 2.0.0.
Nuglaanta ayaa suurtogal ka dhigaysa in loola dhaqmo ciwaanka IP-ga dibadeed sida ciwaanka shabakadda gudaha iyo lidka ku ah, iyo iyada oo la adeegsanayo caqli-gal gaar ah oo la adeegsanayo moduleka node-netmask ee codsiga si loo fuliyo SSRF (codsiga dhinaca adeegga), RFI (Ku darida Faylka Fog) iyo LFI (Ku darida Faylka Maxaliga ah) weerarrada) si ay u helaan ilaha shabakadda gudaha oo ay ku daraan faylalka dibadda ama maxalliga ah ee silsiladda fulinta. Dhibaatadu waxay tahay in marka loo eego qeexitaanka, qiimaha xargaha ciwaanka ee ka bilaabmaya eber waa in loo tarjumaa lambarrada octal, laakiin moduleka node-netmask ma tixgeliyo tan oo wuxuu ula dhaqmaa sida tirooyin jajab tobanle ah.
Tusaale ahaan, weeraryahanku wuxuu codsan karaa kheyraadka maxalliga ah isagoo qeexaya qiimaha "0177.0.0.1", taas oo u dhiganta "127.0.0.1", laakiin "node-netmask" module wuxuu tuurayaa null, wuxuuna ula dhaqmaa 0177.0.0.1 "sida" 177.0.0.1β Sidoo kale, weeraryahanku wuxuu cayimi karaa ciwaanka "127.0.0.1", kaas oo la mid ah "0127.0.0.1", laakiin waxaa loola dhaqmi doonaa "87.0.0.1" ee "node-netmask" moduleka. Sidoo kale, waxaad khiyaami kartaa jeegga gelitaanka ciwaannada intranetka adiga oo qeexaya qiyamka sida "127.0.0.1" (oo u dhiganta "012.0.0.1", laakiin waxaa loo habayn doonaa 10.0.0.1 inta lagu jiro hubinta).
Cilmi-baarayaasha aqoonsaday dhibaatada waxay ugu yeeraan dhibaatada inay tahay masiibo waxayna bixiyaan dhowr dhacdo oo weerar ah, laakiin intooda badan waxay u muuqdaan kuwo mala-awaal ah. Tusaale ahaan, waxa ay ka hadlaysaa suurtogalnimada in lagu weeraro arjiga ku salaysan Node.js kaas oo dejinaya xidhiidhada dibadda si loo codsado kheyraad ku salaysan xuduudaha ama xogta codsiga gelinta, laakiin codsiga si gaar ah looma magacaabin ama faahfaahsan. Xitaa haddii aad hesho codsiyo ku raran kheyraadka iyadoo lagu saleynayo ciwaannada IP-ga ee la geliyey, gebi ahaanba ma cadda sida nuglaanta looga faa'iidaysan karo ficil ahaan iyada oo aan lagu xidhin shabakad maxalli ah ama iyada oo aan la xakameynin cinwaannada IP-ga "muraayada".
Cilmi-baarayaashu waxay kaliya u maleynayaan in milkiilayaasha 87.0.0.1 (Telecom Italia) iyo 0177.0.0.1 (Brasil Telecom) ay awoodaan inay ka gudbaan xaddidaadda gelitaanka 127.0.0.1. Xaalad aad u macquul ah ayaa ah in laga faa'iidaysto nuglaanta si looga gudbo liisaska dhinaca codsiyada ee kala duwan. Arrinta sidoo kale waxaa lagu dabaqi karaa wadaagga qeexida kala duwanaanta intranetka ee moduleka NPM "private-ip".
Source: opennet.ru