【漏洞资讯】CVE-2021-23406 Pac-Resolver远程代码执行漏洞

漏洞时间:2021年9月13日

 

漏洞介绍

Pac-resolver是一个广泛使用的npm包,该包的每周下载量超过300万次,GitHub 上有285k公共依赖存储库。

近日,Pac-resolver中被披露存在一个远程代码执行漏洞(CVE-2021-23406),该漏洞的CVSSv3评分为9.8。

漏洞名称
Pac-Resolver远程代码执行漏洞
威胁等级
high
漏洞威胁
Pac-Resolver(npm)
影响范围
Pac-Resolver(npm)版本 < 5.0.0
漏洞类型
RCE
利用难度
N/A
漏洞编号
CVE-2021-23406
是否有POC
N/A

 

信息详情

代理自动配置(PAC)文件是用 JavaScript 编写的脚本,它决定网络浏览器的请求是直接发送到目的地还是转发到指定主机名的web代理服务器。PAC文件是在企业环境中分发代理规则的方式。

Pac-resolver包用于Pac-Proxy-Agent中的PAC文件支持,而Pac-Proxy-Agent又被用于Proxy-Agent中,然后被作为Node.js中HTTP代理自动检测和配置的标准可用包而被广泛使用。Pac-resolver包非常受欢迎,Proxy-Agent 也几乎无处不在,从 AWS 的 CDK 工具包到 Mailgun SDK 再到 Firebase CLI。

由于Pac-Proxy-Agent没有正确地对PAC文件进行沙箱处理,导致不受信任的PAC文件可以被滥用,从而使得攻击者可以完全突破沙箱并在系统上运行任意代码。但要利用此漏洞,攻击者要么能够驻留在本地网络上,要么能够篡改 PAC 文件的内容,要么可以结合其它漏洞更改代理配置。

研究人员表示,该漏洞是针对VM 模块的众所周知的攻击,因为Node没有完全隔离沙箱的上下文。该漏洞的修复方法是使用真正的沙箱而不是VM 内置模块。

修复方式

目前已在Pac-Resolver v5.0.0、Pac-Proxy-Agent v5.0.0 和 Proxy-Agent v5.0.0中修复了此漏洞,建议受影响的用户及时升级更新。

下载链接:

https://www.npmjs.com/package/pac-resolver

此外,RedHat于2021年8月22日发布了CVE-2021-23406的安全公告,表示Red Hat Advanced Cluster Management for Kubernetes 附带了存在该漏洞的组件,但受影响的组件受到用户认证的保护,从而降低了该漏洞的潜在影响。建议相关用户查看RedHat发布的安全公告并及时修复。

参考链接:

https://access.redhat.com/security/cve/cve-2021-23406

参考链接

https://httptoolkit.tech/blog/npm-pac-proxy-agent-vulnerability/

https://www.npmjs.com/package/pac-resolver

https://nvd.nist.gov/vuln/detail/CVE-2021-23406

https://thehackernews.com/2021/09/critical-bug-reported-in-npm-package.html

本文原创,作者:Galaxy,其版权均为Galaxy Lab所有。如需转载,请注明出处:http://galaxylab.pingan.com.cn/%e3%80%90%e6%bc%8f%e6%b4%9e%e8%b5%84%e8%ae%af%e3%80%91cve-2021-23406-pac-resolver%e8%bf%9c%e7%a8%8b%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e/

发表评论

*