Pesquisadores de segurança descobriram uma falha crítica de rede, registrada como CVE-2021-28918, na máscara de rede npm, comumente utilizada por milhares de aplicativos para analisar endereços IPv4 e blocos CIDR (método usado para repartir os endereços IP e fazer o roteamento) ou compará-los.
A biblioteca da máscara de rede npm geralmente registra mais de 3 milhões de downloads semanais e, ao longo de sua existência, atingiu mais de 238 milhões de downloads completos. Além disso, quase 278 mil repositórios GitHub dependem da máscara de rede. Devido à falha de validação de entrada inadequada, a máscara de rede identifica um IP diferente e essa falha pode permitir que hackers consigam falsificar a solicitação do lado do servidor (SSRF) em aplicativos downstream.
Os pesquisadores de segurança Victor Viale, Sick Codes, Nick Sahler, Kelly Kaoudis e John Jackson foram responsáveis por rastrear a vulnerabilidade na popular biblioteca de máscaras de rede. A falha foi detectada inicialmente quando estavam projetando um patch para uma falha separada e crítica de SSRF (CVE-2020-28360) no pacote downstream Private-IP, que ajuda a evitar que endereços IP pessoais se comuniquem com os recursos internos de um aplicativo.
Veja isso
GitHub já pagou mais de US$ 1 milhão em prêmios de bug bounty
Código-fonte do PHP foi contaminado com backdoor em invasão de servidor
Os pesquisadores de segurança descobriram a falha inicialmente em 16 de março e aconselharam os desenvolvedores usam linguagem de programação node.js a examinar seus projetos para uso da máscara de rede e atualizar imediatamente se identificarem o pacote em uso.
Olivier Poitrey, desenvolvedor de máscara de rede e diretor de engenharia da Netflix, lançou uma série de patches para o bug no GitHub. Com agências de notícias internacionais.
