Разработчики пакета NPM призывают немедленно обновить его

Исследователи кибербезопасности обнаружили уязвимость удалённого выполнения кода (RCE) высокой степени серьёзности в широко используемом пакете NPM под названием Pac-Resolver.

Разработчики пакета NPM призывают немедленно обновить его. Фото: Pixabay

По словам исследователя Тима Перри, обнаружившего недостаток, PAC означает Proxy Auto-Config, которые представляют собой сценарии, написанные на JavaScript, которые помогают HTTP-клиентам выбирать правильный прокси для данного имени хоста с использованием динамической логики.

Из сообщения Тима Перри:

«Этот пакет используется для поддержки файлов PAC в Pac-Proxy-Agent, который, в свою очередь, применяется в Proxy-Agent, который затем встраивается повсеместно в качестве стандартного пакета для автоматического определения и настройки HTTP-прокси в Node.js. Это очень популярный алгоритм»

Он добавляет, что Proxy-Agent регистрирует около трёх миллионов загрузок в неделю и существует в 285 000 общедоступных зависимых репозиториях на GitHub.

В своём сообщении Перри объясняет, что уязвимость, отслеживаемая как CVE-2021-23406, может позволить злоумышленникам удалённо запускать произвольный код на вашем компьютере всякий раз, когда вы отправляете HTTP-запрос.

Объясняя условия, которые делают приложения Node.js уязвимыми, Перри говорит, что ошибка затрагивает всех пользователей Pac-Resolver, которые явно используют файлы PAC для настройки прокси или читают и используют конфигурацию прокси ОС в системах, использующих протокол WPAD или конфигурацию прокси из ненадёжного источника.

Перри считает, что уязвимость затрагивает всех, кто использует пакет Pac-Resolver в своих приложениях.

«Вам необходимо обновить программное обеспечение до Pac-Resolver v5 и / или Proxy-Agent v5 прямо сейчас», — призывают разработчики ПО.

Startpack подготовил список инструментов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.

Статьи по теме