Meşhur «pac-resolver» NPM-paketi uzaklykdan kod ýerine ýetirmek gowşaklygy saklaýardy. Bu mesele Node.js ulanýan we açyk düýp kodly baglylyklara daýanýan programmalara täsir edýärdi.

Programma döredijileriň beýan etmegine görä, «pac-resolver» - bu JavaScript dilinde ýazylan sazlama faýllaryny ulanmak mümkinçiligini berýän we programmanyň ýörite funksiýasyny döredýän moduli bolup durýar. Ulanyjy bu funksiýanyň kömegi bilen proksi ulanmak üçin belli bir domenleri sazlap bilýär.

Pac-resolver paketiň howply gowşaklygy Tim Perri tarapyndan ýüze çykaryldy. Onuň beýan etmegine görä, ýüze çykarylan ýalňyşlyk lokal torda (Node.js prosesiniň çäginde) erkin kod işletmek mümkinçiligini berýär. Gowşaklyk üçin CVE-2021-23406 identifikatory berildi. Gowşaklyk «pac-resolver» paketiň 5.0.0 wersiýasyndan öň çykan wersiýalaryna täsir edýär.

Programma döredijileri 5.0.0 wersiýasy bilen gurnap bolýan degişli düzedişi çykardylar. Häzirki wagtda modulde has ygtybarly sandbox mehanizmi ulanylýar.

Çeşme: anti-malware.ru