В популярной npm-библиотеке netmask обнаружена критическая уязвимость (CVE-2021-28918). Проблема связана с тем, как netmask обрабатывает IP-адреса смешанного формата. При синтаксическом анализе IP-адреса с начальным нулем node-netmask видит другой IP-адрес из-за некорректной проверки на месте.

На первый взгляд уязвимость может показаться незначительной, но если злоумышленник сможет повлиять на ввод IP-адреса, анализируемый приложением, проблема может привести к различным другим уязвимостям — от подделки запросов на стороне сервера (Server Side Request Forgery, SSRF) до удаленного доступа.

Исследователи сообщили об уязвимости разработчику node-netmask Оливье Пуатри (Olivier Poitrey), и он опубликовал в репозитории на GitHub серию исправлений для данной проблемы. Пользователям npm-библиотеки netmask рекомендуется обновиться до версии 2.0.0.

Источник: securitylab.ru