提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

JavaScript编程语言中一个非常流行的名为“pac resolver”的NPM包已经修复，以解决可能影响许多Node.js应用程序的远程代码执行缺陷。

开发人员Tim Perry发现了pac resolver依赖项中的缺陷，他指出，该缺陷可能允许本地网络上的攻击者攻击每当操作员试图发送HTTP请求时，在Node.js进程内远程运行恶意代码。Note.js是运行JavaScript web应用程序的流行JavaScript运行时。

“此软件包用于PAC Proxy Agent中的PAC文件支持，该软件包在Proxy Agent中依次使用，然后作为HTTP Proxy autodetection&；“Node.js中的配置，”Perry解释道。

请参阅：开发者、DevOps还是网络安全？佩里指出，哪一位是雇主目前寻找的顶级技术人才？

PAC或“代理自动配置”指的是用JavaScript编写的PAC文件，用于分发复杂的代理规则，指示HTTP客户端对给定主机名使用哪个代理，并补充说，这些文件在企业系统中广泛使用。它们从本地网络服务器和远程服务器分发，通常不安全地通过HTTP而不是HTTPs。

这是一个普遍存在的问题，因为代理在Amazon Web Services云开发工具包（CDK）、Mailgun SDK和Google的Firebase CLI中使用。

该软件包每周下载300万次，在GitHub上有285000个公共依赖的repo，Perry在一篇博客文章中指出。

该漏洞最近已在所有这些软件包的v5.0.0中修复，并在上周被披露后被标记为CVE-2021-23406。

这将意味着许多使用Node.js应用程序的开发人员可能会受到影响，需要更新到5.0版。

它影响到任何依赖它的人Node.js应用程序中版本5.0之前的Pac解析器。如果开发人员执行了三种配置中的任何一种，则会影响这些应用程序：

显式使用PAC文件进行代理配置读取并在具有WPAD enabledUse代理配置（环境变量、配置文件、远程配置端点、，“在任何情况下，攻击者（通过配置恶意PAC URL、使用恶意文件拦截PAC文件请求、，或者使用WPAD）可以在您使用此代理配置发送HTTP请求的任何时候远程在您的计算机上运行任意代码，”Perry指出。

Apple Watch继续占据主导地位。其他品牌能赶上吗？

英国2021年最好的VPN

Windows 11：以下是如何获得微软的免费操作系统更新

三星刚刚通过注册打造了这个2亿像素的巨型智能手机摄像头传感器，您同意使用条款并确认隐私政策中概述的数据实践。

您还将免费订阅ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS公司系列的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:42