Meşhur netmask npm kitaphanasynda CVE-2021-28918 belgili örän howply gowşaklyk tapyldy. Mesele netmask kitaphanasynyň garyşyk formatda bolan IP salgylary nädip işläp taýýarlaýandygy bilen baglanyşykly bolup durýar. Node-netmask 0 bilen başlanýan IP-salgysyny derňände, ýalňyş barlaýanlygy sebäpli başga IP-salgysyny görýär.

Görnüşe görä, gowşaklyk ähmiýetsiz görnüp biler, emma ýaramaz niýetli ulanyjy programma tarapyndan derňelýän IP-salgysyna täsir edip bilen ýagdaýynda, bu mesele serwer tarapyndan galp ýüzlenmeleri ibermekden (Server Side Request Forgery, SSRF) uzaklykdan aralaşmak ýaly dürli gowşaklyklaryň döremegine getirip biler.

Gözlegçiler gowşaklyk barada node-netmask döredijisi Oliwýe Poitreýe (Olivier Poitrey) habar berdiler. Ol GitHub repozitoriýasynda bu mesele üçin birnäçe düzedişleri çykardy. Netmask npm kitaphanasynyň ulanyjylaryna 2.0.0 wersiýasyna täzelemegi maslahat berilýär.

Çeşme: securitylab.ru