Бастаи pac-resolver NPM, ки дар як ҳафта зиёда аз 3 миллион боргирӣ дорад, осебпазирӣ (CVE-2021-23406) дорад, ки имкон медиҳад рамзи JavaScript-и он дар заминаи барнома ҳангоми ирсоли дархостҳои HTTP аз лоиҳаҳои Node.js, ки дастгирии сервери прокси функсияи танзимоти худкор.
Бастаи pac-resolver файлҳои PAC-ро таҳлил мекунад, ки скрипти конфигуратсияи автоматии проксиро дар бар мегиранд. Файли PAC дорои рамзи муқаррарии JavaScript бо функсияи FindProxyForURL мебошад, ки мантиқи интихоби проксиро вобаста ба хост ва URL-и дархостшуда муайян мекунад. Моҳияти осебпазирӣ дар он аст, ки барои иҷрои ин рамзи JavaScript дар pac-resolver, API-и VM пешниҳодшуда дар Node.js истифода шудааст, ки ба шумо имкон медиҳад рамзи JavaScript-ро дар контексти дигари муҳаррики V8 иҷро кунед.
API-и муайяншуда дар ҳуҷҷатҳо ба таври возеҳ қайд карда шудааст, ки барои иҷро кардани рамзи беэътимод пешбинӣ нашудааст, зеро он ҷудокунии пурраи коди иҷрошавандаро таъмин намекунад ва дастрасӣ ба контексти аслиро фароҳам меорад. Масъала дар pac-resolver 5.0.0, ки барои истифодаи китобхонаи vm2 интиқол дода шудааст, ҳал карда шудааст, ки сатҳи баландтари изолятсияро барои иҷро кардани коди эътимоднок таъмин мекунад.
Ҳангоми истифодаи версияи осебпазири pac-resolver, ҳамлакунанда тавассути интиқоли файли махсус тарҳрезишудаи PAC метавонад иҷрои рамзи JavaScript-и худро дар контексти рамзи лоиҳа бо истифода аз Node.js ба даст орад, агар ин лоиҳа китобхонаҳоеро истифода барад, ки вобастагӣ доранд. бо pac-resolver. Маъмултарин китобхонаҳои мушкилот Прокси-Агент мебошад, ки ҳамчун вобастагӣ аз 360 лоиҳа, аз ҷумла urllib, aws-cdk, mailgun.js ва firebase-tools номбар шудааст, ки дар маҷмӯъ зиёда аз се миллион боргирӣ дар як ҳафта аст.
Агар барномае, ки аз pac-resolver вобастагӣ дорад, файли PAC-ро, ки системае, ки протоколи конфигуратсияи автоматии WPAD проксиро дастгирӣ мекунад, бор кунад, он гоҳ ҳамлагароне, ки ба шабакаи маҳаллӣ дастрасӣ доранд, метавонанд тақсимоти танзимоти проксиро тавассути DHCP барои ворид кардани файлҳои PAC зараровар истифода баранд.
Манбаъ: opennet.ru