Как стать автором
Обновить

В популярной NPM-библиотеке netmask обнаружена критическая уязвимость

Время на прочтение1 мин
Количество просмотров2.5K

В популярном npm-пакете node-netmask нашли уязвимость, которая позволяет обойти ограничение доступа к IP-адресам и провести атаку SSRF, RFI или LFI на приложение на базе Node.js. Уже выпущен патч.

Библиотека выполняет парсинг IP-адресов при обращении к сетевым ресурсам через приложение. С ней работают более 279 тысяч проектов на GitHub.

Уязвимость CVE-2021-28918 спровоцирована ошибкой в реализации проверки входных данных. Она проявляется при обработке IP-адресов смешанного формата.

Спецификации IETF предполагают, что адреса IPv4 в текстовом виде могут быть представлены в том числе в десятичном и восьмеричном форматах. В последнем строковое значение адреса начинается с нуля. Браузеры обычно отслеживают префикс «0» в адресной строке и автоматически совершают перевод IP-адреса в десятичный формат. Однако netmask отбрасывает префикс и обрабатывает все части адреса как десятичные числа.

Это позволяет хакерам запросить ресурс, указав IP-адрес как 0177.0.0.1, и тогда уязвимый модуль обработает его как внешний адрес 177.0.0.1. Уязвимое приложение может загрузить ресурс в обход запретов. Кроме того, при обращении к приложению на базе Node.js хакер может указать localhost-адрес как 0127.0.0.1, и тогда модуль netmask обработает его как публичный 127.0.0.1.

Уязвимость позволяет также обойти проверку разрешений на доступ к интранет-адресам, VPN, контейнерам и узлам локальной сети путем ввода IP-адреса 012.0.0.1 (10.0.0.1), который воспринимается как 12.0.0.1.

Подобного рода уязвимости опасны возможностью атак динамического подключения файлов с других серверов, включения в цепочку выполнения локальных файлов и подмены адресов на стороне сервера.

Теги:
Хабы:
Всего голосов 19: ↑19 и ↓0+19
Комментарии1

Другие новости

Истории

Работа

Ближайшие события

7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань