Paketa NPM pac-resolver, e cila ka mbi 3 milionë shkarkime në javë, ka një dobësi (CVE-2021-23406) që lejon që kodi i tij JavaScript të ekzekutohet në kontekstin e aplikacionit kur dërgon kërkesa HTTP nga projektet Node.js që mbështet funksionin e konfigurimit automatik të serverit proxy.
Paketa pac-resolver analizon skedarët PAC që përfshijnë një skript automatik të konfigurimit të përfaqësuesit. Skedari PAC përmban kod të rregullt JavaScript me një funksion FindProxyForURL që përcakton logjikën për zgjedhjen e një përfaqësuesi në varësi të hostit dhe URL-së së kërkuar. Thelbi i cenueshmërisë është se për të ekzekutuar këtë kod JavaScript në pac-resolver, është përdorur API VM i ofruar në Node.js, i cili ju lejon të ekzekutoni kodin JavaScript në një kontekst të ndryshëm të motorit V8.
API-ja e specifikuar është shënuar në mënyrë eksplicite në dokumentacion si jo e destinuar për ekzekutimin e kodit të pabesueshëm, pasi nuk siguron izolim të plotë të kodit që ekzekutohet dhe lejon hyrjen në kontekstin origjinal. Problemi është adresuar në pac-resolver 5.0.0, i cili është zhvendosur për të përdorur bibliotekën vm2, e cila ofron një nivel më të lartë izolimi të përshtatshëm për ekzekutimin e kodit të pabesueshëm.
Kur përdor një version të cenueshëm të pac-resolver, një sulmues, përmes transmetimit të një skedari PAC të krijuar posaçërisht, mund të arrijë ekzekutimin e kodit të tij JavaScript në kontekstin e kodit të një projekti duke përdorur Node.js, nëse ky projekt përdor bibliotekat që varen nga pac-zgjidhësi. Më e popullarizuara nga bibliotekat problematike është Proxy-Agent, e cila renditet si një varësi nga 360 projekte, duke përfshirë urllib, aws-cdk, mailgun.js dhe firebase-tools, që arrijnë në më shumë se tre milionë shkarkime në javë.
Nëse një aplikacion që ka varësi nga pac-zgjidhësi shkarkon një skedar PAC të ofruar nga një sistem që mbështet protokollin e konfigurimit automatik të proxy WPAD, atëherë sulmuesit me akses në rrjetin lokal mund të përdorin shpërndarjen e cilësimeve të përfaqësuesit nëpërmjet DHCP për të futur skedarë me qëllim të keq PAC.
Burimi: opennet.ru