尊龙凯时

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Pac-Resolver远程代码执行误差（CVE-2021-23406）

宣布时间 2021-09-14

0x00 误差概述

CVE ID	CVE-2021-23406	时间	2021-08-24
类型	RCE	等级	高危
远程使用	是	影响规模	< 5.0.0
攻击重漂后	低	可用性	高
用户交互	无	所需权限	无
PoC/EXP		在野使用

0x01 误差详情

Pac-resolver是一个普遍使用的npm包，该包的每周下载量凌驾300万次，GitHub 上有285k公共依赖存储库。

克日，Pac-resolver中被披露保存一个远程代码执行误差（CVE-2021-23406），该误差的CVSSv3评分为9.8。

署理自动设置（PAC）文件是用 JavaScript 编写的剧本，它决议网络浏览器的请求是直接发送到目的地照旧转发到指定主机名的web署理服务器。PAC文件是在企业情形中分发署理规则的方法。

Pac-resolver包用于Pac-Proxy-Agent中的PAC文件支持，而Pac-Proxy-Agent又被用于Proxy-Agent中，然后被作为Node.js中HTTP署理自动检测和设置的标准可用包而被普遍使用。Pac-resolver包很是受接待，Proxy-Agent 也险些无处不在，从 AWS 的 CDK 工具包到 Mailgun SDK 再到 Firebase CLI。

由于Pac-Proxy-Agent没有准确地对PAC文件举行沙箱处置惩罚，导致不受信托的PAC文件可以被滥用，从而使得攻击者可以完全突破沙箱并在系统上运行恣意代码。但要使用此误差，攻击者要么能够驻留在外地网络上，要么能够改动 PAC 文件的内容，要么可以团结其它误差更改署理设置。

研究职员体现，该误差是针对VM �？榈闹谒苤墓セ�，由于Node没有完全隔离沙箱的上下文。该误差的修复要领是使用真正的沙箱而不是VM 内置�？�。

影响规模

Pac-Resolver（npm）版本 < 5.0.0

0x02 处置惩罚建议

现在已在Pac-Resolver v5.0.0、Pac-Proxy-Agent v5.0.0 和 Proxy-Agent v5.0.0中修复了此误差，建议受影响的用户实时升级更新。

下载链接：

https://www.npmjs.com/package/pac-resolver

别的，RedHat于2021年8月22日宣布了CVE-2021-23406的清静通告，体现Red Hat Advanced Cluster Management for Kubernetes 附带了保存该误差的组件，但受影响的组件受到用户认证的�；�，从而降低了该误差的潜在影响。建议相关用户审查RedHat宣布的清静通告并实时修复。

参考链接：

https://access.redhat.com/security/cve/cve-2021-23406

0x03 参考链接

https://httptoolkit.tech/blog/npm-pac-proxy-agent-vulnerability/

https://www.npmjs.com/package/pac-resolver

https://nvd.nist.gov/vuln/detail/CVE-2021-23406

https://thehackernews.com/2021/09/critical-bug-reported-in-npm-package.html

0x04 更新版本

版本	日期	修改内容
V1.0	2021-09-14	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

CVSS：www.first.org

NVD：nvd.nist.gov

0x06 关于尊龙凯时

关注以下公众号，获取更多资讯：

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号