Paket NPM pac-resolver, anu ngagaduhan langkung ti 3 juta undeuran per minggu, gaduh kerentanan (CVE-2021-23406) anu ngamungkinkeun kode JavaScript na dieksekusi dina kontéks aplikasi nalika ngirim pamundut HTTP tina proyék Node.js anu. ngadukung fungsi konfigurasi otomatis server proxy.
Paket pac-resolver parses file PAC anu kalebet naskah konfigurasi proxy otomatis. File PAC ngandung kode JavaScript biasa sareng fungsi FindProxyForURL anu netepkeun logika pikeun milih proxy gumantung kana host sareng URL anu dipénta. Hakekat kerentanan éta pikeun ngaéksekusi kode JavaScript ieu dina pac-resolver, VM API disadiakeun dina Node.js dipaké, nu ngidinan Anjeun pikeun ngaéksekusi kode JavaScript dina konteks béda tina mesin V8.
API anu dieusian sacara eksplisit ditandaan dina dokuméntasi salaku henteu dimaksudkeun pikeun ngajalankeun kode anu teu dipercaya, sabab henteu nyayogikeun isolasi lengkep kode anu dijalankeun sareng ngamungkinkeun aksés kana kontéks aslina. Isu geus direngsekeun dina pac-resolver 5.0.0, nu geus dipindahkeun ka pamakéan perpustakaan vm2, nu nyadiakeun tingkat luhur isolasi cocog pikeun ngajalankeun kode untrusted.
Nalika nganggo vérsi pac-resolver anu rentan, panyerang ngaliwatan pangiriman file PAC anu dirarancang khusus tiasa ngalaksanakeun kode JavaScript na dina konteks kode proyek anu nganggo Node.js, upami proyék ieu nganggo perpustakaan anu gaduh katergantungan. kalawan pac-resolver. Anu pang populerna di perpustakaan bermasalah nyaéta Proxy-Agent, didaptarkeun salaku kagumantungan dina 360 proyék, kalebet urllib, aws-cdk, mailgun.js sareng firebase-tools, jumlahna langkung ti tilu juta undeuran per minggu.
Upami aplikasi anu gaduh katergantungan kana pac-resolver ngamuat file PAC anu disayogikeun ku sistem anu ngadukung protokol konfigurasi otomatis proxy WPAD, teras panyerang anu gaduh aksés ka jaringan lokal tiasa nganggo distribusi setélan proxy ngalangkungan DHCP pikeun nyelapkeun file PAC anu jahat.
sumber: opennet.ru