Пац-ресолвер НПМ пакет, који има преко 3 милиона преузимања недељно, има рањивост (ЦВЕ-2021-23406) која омогућава извршавање његовог ЈаваСцрипт кода у контексту апликације приликом слања ХТТП захтева са Ноде.јс пројеката који подржава функцију аутоматске конфигурације прокси сервера.
Пац-ресолвер пакет анализира ПАЦ датотеке које укључују скрипту за аутоматску конфигурацију проксија. ПАЦ датотека садржи обичан ЈаваСцрипт код са функцијом ФиндПрокиФорУРЛ која дефинише логику за избор проксија у зависности од хоста и траженог УРЛ-а. Суштина рањивости је да је за извршавање овог ЈаваСцрипт кода у пац-ресолверу коришћен ВМ АПИ који се налази у Ноде.јс, који вам омогућава да извршите ЈаваСцрипт код у другом контексту В8 мотора.
Наведени АПИ је у документацији експлицитно означен као није намењен за покретање непоузданог кода, јер не обезбеђује потпуну изолацију кода који се покреће и дозвољава приступ оригиналном контексту. Проблем је решен у пац-ресолвер 5.0.0, који је премештен да користи вм2 библиотеку, која обезбеђује виши ниво изолације погодан за покретање непоузданог кода.
Када користи рањиву верзију пац-ресолвера, нападач путем преноса посебно дизајниране ПАЦ датотеке може постићи извршење свог ЈаваСцрипт кода у контексту кода пројекта који користи Ноде.јс, ако овај пројекат користи библиотеке које имају зависности са пац-ресолвером. Најпопуларнија од проблематичних библиотека је Проки-Агент, наведен као зависност од 360 пројеката, укључујући урллиб, авс-цдк, маилгун.јс и фиребасе-тоолс, укупно више од три милиона преузимања недељно.
Ако апликација која зависи од пац-ресолвера учита ПАЦ датотеку коју обезбеђује систем који подржава протокол за аутоматску конфигурацију ВПАД проксија, онда нападачи са приступом локалној мрежи могу да користе дистрибуцију подешавања проксија преко ДХЦП-а да убаце злонамерне ПАЦ датотеке.
Извор: опеннет.ру