В пакете pac-resolver с тремя миллионами загрузок еженедельно обнаружена уязвимость, которая позволяла выполнять произвольный код в проекте Node.js всякий раз, когда он пытается сделать HTTP-запрос. Уязвимость затрагивала приложения Node.js с функцией автонастройки прокси-сервера.

Pac-resolver представляет собой NPM-пакет, который принимает и обрабатывает файлы конфигурации прокси-сервера и сопоставляет определенные домены с использованием прокси. Файлы PAC содержат код JavaScript с функцией FindProxyForURL, которая определяет, какие запросы проходят через прокси, а какие напрямую, в зависимости от хоста и запрашиваемого URL.

Проблему обнаружил разработчик Тим Перри. Она связана с тем, как pac-resolver обрабатывает файлы автоконфигурации прокси. Уязвимость, которой присвоен идентификатор CVE-2021-23406, позволяет злоумышленнику удаленно выполнить свой JavaScript-код в проекте Node.js при условии, что в проекте используются связанные с зависимостями пакета pac-resolver библиотеки.

Как указывает Тим Перри, одна из таких библиотек — чрезвычайно популярная Proxy-Agent.

«Proxy-Agent используется повсюду: от инструментария AWS CDK и Mailgun SDK до интерфейса командной строки Firebase (около 3 миллионов загрузок в неделю и 285 тысяч общедоступных репозиториев на GitHub)», — пишет разработчик.

Уязвимость устранена в версии pac-resolver 5.0.0, которая использует библиотеку vm2, где реализован механизм песочницы для «предотвращения повышения привилегий ненадежного кода».

Источник: Habr

Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии

Похожие записи: