npm包漏洞探究

Novlan12023-09-12 12:43

1. 开始

经常看见一些地方说某些npm包存在漏洞,具体是哪里有漏洞呢,会危害到哪方面呢,是以什么方式造成的呢?

我十分好奇,决定一探究竟,本文用来记录npm包漏洞的内部原因,会持续更新。

2. glob-parent

这个包的作用是在glob表达式中,提取非魔法字符串的部分,比如:

ts 复制代码 
var globParent = require('glob-parent');

globParent('path/to/*.js'); // 'path/to'
globParent('/root/path/to/*.js'); // '/root/path/to'
globParent('/*.js'); // '/'
globParent('*.js'); // '.'
globParent('**/*.js'); // '.'
globParent('path/{to,from}'); // 'path'
globParent('path/!(to|from)'); // 'path'

这个包被webpack-dev-serverchokidareslint等流行库使用。

该库在<5.1.2前有ReDos(Denial of service)攻击风险,个人理解就是会让执行变慢,攻击者可以使用特殊文件或字符,使服务器不能正常工作。

漏洞前的代码:

ts 复制代码 
var enclosure = /[\{\[].*[\/]*.*[\}\]]$/;

修复后的代码:

ts 复制代码 
var enclosure = /[\{\[].*[\}\]]$/;

如何检测呢,如果下面的测试用例超时,则说明存在ReDoc风险。

ts 复制代码 
it('should not be susceptible to SNYK-JS-GLOBPARENT-1016905', function(done) {
  // This will time out if susceptible.
  gp('{' + '/'.repeat(5000));

  done();
});

根本原因是正则的回溯原理,也就是.*已经包含了[\/]*,没必要再用[\/]*.*了,具体的执行步骤差异不是成倍,而是指数级的。

可以用这个网站查看两个正则解析的性能差异,上面的测试用例,修复前执行时间超过2s,修复后执行只需要0.8ms

下面是一些思考,其实我们自己写代码时,也有可能写出性能极差的正则,但是并不会被漏洞检测机构收录,可能是因为我们写的库用途不广,并不是基础库,没有被大型项目使用。

参考:

3. xlsx

这个包<0.19.3的版本都有原型污染的漏洞,另外这个库已经不在githubnpm上更新了,需要这样更新:

bash 复制代码 
npm i https://cdn.sheetjs.com/xlsx-0.19.3/xlsx-0.19.3.tgz

看了下代码,并没有找到相关的漏洞修复提交记录,不知道是不是换了个源,人们就认为它修复了呢?

参考:

4. file-type

这个包也是会引起Dos攻击,原因是读取 MKV 文件的时候处理不当,会造成无限循环。

有问题的版本为>= 17.0.0, < 17.1.3>= 13.0.0, < 16.5.4,修复的版本为17.1.316.5.4

参考:

5. ejs

ejs是个模版解析工具,被express等库使用。

首先它本身是个javascript运行时工具,开发者需要自己对数据进行校验后再进行下一步处理或输出,不能这样:

js 复制代码 
const express = require('express');
const app = express();
const PORT = 3000;
app.set('views', __dirname);
app.set('view engine', 'ejs');

app.get('/', (req, res) => {
    res.render('index', req.query);
});

app.listen(PORT, ()=> {
    console.log(`Server is running on ${PORT}`);
});

有关ejs本身的漏洞是这样的,在query中的参数没被过滤,可以直接运行,造成RCE(远程代码执行remote command/code execute)攻击。

有问题的版本为< 3.1.7,修复的版本为>= 3.1.7

参考:

6. qs

qs是字符串解析库,使用非常广泛。

关于它的一个漏洞也是原型污染类的,因为它可以用来解析对象,解决办法也很简单,就是过滤__proto__属性即可。

影响版本 修复版本
>= 6.10.0, < 6.10.3 6.10.3
>= 6.9.0, < 6.9.7 6.9.7
>= 6.8.0, < 6.8.3 6.8.3
>= 6.7.0, < 6.7.3 6.7.3
>= 6.6.0, < 6.6.1 6.6.1
>= 6.5.0, < 6.5.3 6.5.3
>= 6.4.0, < 6.4.1 6.4.1
>= 6.3.0, < 6.3.3 6.3.3
< 6.2.4 6.2.4

参考:

相关推荐
咔咔一顿操作20 分钟前
轻量无依赖!autoviwe 页面自适应组件实战:从安装到源码深度解析
javascript·arcgis·npm·css3·html5
aidou131420 小时前
Visual Studio Code(VS Code)安装步骤
vscode·npm·node.js·环境变量
全栈小51 天前
【前端】win11操作系统安装完最新版本的NodeJs运行npm install报错,提示在此系统上禁止运行脚本
前端·npm·node.js
DevOps探索之旅2 天前
Hadess从入门到精通,如何详细管理Npm制品
npm·hadess·国产开源制品管理工具·一文上手
一心赚狗粮的宇叔3 天前
VScode常用扩展包&Node.js安装及npm包安装
vscode·npm·node.js·web
嘿是我呀3 天前
【用npm安装node时报错“npm 无法加载文件”】
前端·npm·node.js
Hexene...3 天前
【前端Vue】npm install时根据新的状态重新引入实际用到的包,不引入未使用到的
前端·vue.js·npm
霸气小男3 天前
使用nvm安装node之后在vscode中无法使用npm报错
npm
i建模4 天前
在 Ubuntu 中为 npm 切换国内镜像源
linux·ubuntu·npm
每天瞎忙的农民工4 天前
Ubuntu 24 安装npm22
linux·运维·ubuntu·npm
热门推荐
01GitHub 镜像站点02Vue-skills的中文文档03一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05Claude Code Skills 实用使用手册06UV安装并设置国内源07Linux下V2Ray安装配置指南08OpenClaw Chrome扩展使用教程 - 浏览器中继控制09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书