8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Pac-Resolver远程代码执行缝隙（CVE-2021-23406）

颁布功夫 2021-09-14

0x00 缝隙概述

CVE ID	CVE-2021-23406	时间	2021-08-24
类型	RCE	等级	高危
远程利用	是	影响领域	< 5.0.0
攻击复杂度	低	可用性	高
用户交互	无	所需权限	无
PoC/EXP		在野利用

0x01 缝隙详情

Pac-resolver是一个宽泛使用的npm包，，，，，，该包的每周下载量超过300万次，，，，，，GitHub 上有285k公共依赖存储库。。。。。。

近日，，，，，，Pac-resolver中被披露存在一个远程代码执行缝隙（CVE-2021-23406），，，，，，该缝隙的CVSSv3评分为9.8。。。。。。

代理自动配置（PAC）文件是用 JavaScript 编写的剧本，，，，，，它决定网络浏览器的要求是直接发送到主张地还是转发到指定主机名的web代理服务器。。。。。。PAC文件是在企业环境中分发代理规定的方式。。。。。。

Pac-resolver包用于Pac-Proxy-Agent中的PAC文件支持，，，，，，而Pac-Proxy-Agent又被用于Proxy-Agent中，，，，，，而后被作为Node.js中HTTP代理自动检测和配置的尺度可用包而被宽泛使用。。。。。。Pac-resolver包极度受欢迎，，，，，，Proxy-Agent 也险些无处不在，，，，，，从 AWS 的 CDK 工具包到 Mailgun SDK 再到 Firebase CLI。。。。。。

由于Pac-Proxy-Agent没有正确地对PAC文件进行沙箱处置，，，，，，导致不受信赖的PAC文件能够被滥用，，，，，，从而使得攻击者能够齐全突破沙箱并在系统上运行肆意代码。。。。。。但要利用此缝隙，，，，，，攻击者要么可能驻留在本地网络上，，，，，，要么可能篡改 PAC 文件的内容，，，，，，要么能够结合其它缝隙更改代理配置。。。。。。

钻研人员暗示，，，，，，该缝隙是针对VM �？？？？？？？？榈亩嗨苤墓セ�，，，，，，由于Node没有齐全隔离沙箱的高低文。。。。。。该缝隙的建复步骤是使用真正的沙箱而不是VM 内置�？？？？？？？？�。。。。。。

影响领域

Pac-Resolver（npm）版本 < 5.0.0

0x02 措置建议

目前已在Pac-Resolver v5.0.0、Pac-Proxy-Agent v5.0.0 和 Proxy-Agent v5.0.0中建复了此缝隙，，，，，，建议受影响的用户实时升级更新。。。。。。

下载链接：

https://www.npmjs.com/package/pac-resolver

此表，，，，，，RedHat于2021年8月22日颁布了CVE-2021-23406的安全布告，，，，，，暗示Red Hat Advanced Cluster Management for Kubernetes 附带了存在该缝隙的组件，，，，，，但受影响的组件受到用户认证的�；；；；；�，，，，，，从而降低了该缝隙的潜在影响。。。。。。建议有关用户查看RedHat颁布的安全布告并实时建复。。。。。。

参考链接：

https://access.redhat.com/security/cve/cve-2021-23406

0x03 参考链接

https://httptoolkit.tech/blog/npm-pac-proxy-agent-vulnerability/

https://www.npmjs.com/package/pac-resolver

https://nvd.nist.gov/vuln/detail/CVE-2021-23406

https://thehackernews.com/2021/09/critical-bug-reported-in-npm-package.html

0x04 更新版本

版本	日期	批改内容
V1.0	2021-09-14	初次颁布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

CVSS：www.first.org

NVD：nvd.nist.gov

0x06 关于8827太阳集团

关注以下公家号，，，，，，获取更多资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】