Разработчики пакета NPM призывают немедленно обновить его
Разработчики пакета NPM призывают немедленно обновить его. Фото: Pixabay
По словам исследователя Тима Перри, обнаружившего недостаток, PAC означает Proxy Auto-Config, которые представляют собой сценарии, написанные на JavaScript, которые помогают HTTP-клиентам выбирать правильный прокси для данного имени хоста с использованием динамической логики.
Из сообщения Тима Перри:
«Этот пакет используется для поддержки файлов PAC в Pac-Proxy-Agent, который, в свою очередь, применяется в Proxy-Agent, который затем встраивается повсеместно в качестве стандартного пакета для автоматического определения и настройки HTTP-прокси в Node.js. Это очень популярный алгоритм»
Он добавляет, что Proxy-Agent регистрирует около трёх миллионов загрузок в неделю и существует в 285 000 общедоступных зависимых репозиториях на GitHub.
В своём сообщении Перри объясняет, что уязвимость, отслеживаемая как CVE-2021-23406, может позволить злоумышленникам удалённо запускать произвольный код на вашем компьютере всякий раз, когда вы отправляете HTTP-запрос.
Объясняя условия, которые делают приложения Node.js уязвимыми, Перри говорит, что ошибка затрагивает всех пользователей Pac-Resolver, которые явно используют файлы PAC для настройки прокси или читают и используют конфигурацию прокси ОС в системах, использующих протокол WPAD или конфигурацию прокси из ненадёжного источника.
Перри считает, что уязвимость затрагивает всех, кто использует пакет Pac-Resolver в своих приложениях.
«Вам необходимо обновить программное обеспечение до Pac-Resolver v5 и / или Proxy-Agent v5 прямо сейчас», — призывают разработчики ПО.
Startpack подготовил список инструментов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.
Статьи по теме
Комментариев пока не было