Kifurushi cha NPM cha kisuluhishi cha pac, ambacho kina vipakuliwa zaidi ya milioni 3 kwa wiki, kina athari (CVE-2021-23406) ambayo inaruhusu msimbo wake wa JavaScript kutekelezwa katika muktadha wa programu wakati wa kutuma maombi ya HTTP kutoka kwa miradi ya Node.js ambayo utendakazi wa usanidi otomatiki wa seva ya proksi.
Kifurushi cha pac-resolver huchanganua faili za PAC ambazo zinajumuisha hati ya usanidi otomatiki ya seva mbadala. Faili ya PAC ina msimbo wa kawaida wa JavaScript na kitendakazi cha FindProxyForURL ambacho hufafanua mantiki ya kuchagua seva mbadala kulingana na seva pangishi na URL iliyoombwa. Kiini cha athari ni kwamba kutekeleza msimbo huu wa JavaScript katika pac-resolver, API ya VM iliyotolewa katika Node.js ilitumiwa, ambayo inakuruhusu kutekeleza msimbo wa JavaScript katika muktadha tofauti wa injini ya V8.
API iliyobainishwa imetiwa alama wazi katika hati kuwa haikukusudiwa kutumia msimbo usioaminika, kwa kuwa haitoi utengaji kamili wa msimbo unaoendeshwa na inaruhusu ufikiaji wa muktadha asili. Suala hilo limetatuliwa katika pac-resolver 5.0.0, ambayo imehamishwa ili kutumia maktaba ya vm2, ambayo hutoa kiwango cha juu cha kutengwa kinachofaa kwa kuendesha msimbo usioaminika.
Anapotumia toleo hatarishi la pac-resolver, mshambulizi kupitia uwasilishaji wa faili iliyoundwa mahususi ya PAC anaweza kufikia utekelezaji wa msimbo wake wa JavaScript katika muktadha wa msimbo wa mradi kwa kutumia Node.js, ikiwa mradi huu unatumia maktaba ambazo zinategemea na pac-resolver. Maktaba maarufu zaidi kati ya zenye matatizo ni Wakala wa Wakala, aliyeorodheshwa kama tegemezi kwa miradi 360, ikijumuisha urllib, aws-cdk, mailgun.js na zana za firebase, zinazojumuisha zaidi ya vipakuliwa milioni tatu kwa wiki.
Iwapo programu ambayo ina utegemezi kwenye kisuluhishi cha pac itapakia faili ya PAC iliyotolewa na mfumo unaotumia itifaki ya usanidi otomatiki ya seva mbadala ya WPAD, basi wavamizi walio na ufikiaji wa mtandao wa ndani wanaweza kutumia usambazaji wa mipangilio ya seva mbadala kupitia DHCP ili kuingiza faili hasidi za PAC.
Chanzo: opennet.ru