Yarn یک مدیریتکننده پکیج (package manager) در جاوااسکریپت است که توسط فیسبوک به عنوان جایگزینی برای NPM client توسعه یافته است. Yarn به توسعهدهندگان اجازه میدهد تا کد JavaScript را توسعه دهند و آن را از طریق پکیجهای نرمافزاری به اشتراک بگذارند. Yarn در مقایسه با NPM قابلیتهایی مانند سرعت بالاتر، قابلیت اطمینان و سازگاری بیشتری دارد.
اخیراً یک آسیبپذیری با شناسه CVE-2021-4435 و شدت بالا (7.7) در Yarn شناسایی شده که مرتبط با مسیر جستجوی ناامن در Yarn است. زمانی که قربانی، برخی از دستورات Yarn را در یک دایرکتوری با محتوای کنترلشده توسط مهاجم اجرا میکند، دستورات مخرب به شکل غیرمنتظره اجرا میشوند.
بر اساس بردار حمله این آسیبپذیری (AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)، بهرهبرداری از این آسیبپذیری از شبکه خارجی امکانپذیر نیست. مهاجم باید از راه دور (از طریق پروتکلی مانند SSH یا RDP) به سیستم دسترسی داشته باشد، یا نیاز به استفاده از مهندسی اجتماعی یا تکنیکهای دیگر جهت فریب کاربر ناآگاه برای کمک به شروع بهرهبرداری دارد. (AV:L)، پیچیدگی حمله بالا میباشد. (AC:H)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، به تعامل با کاربر نیاز دارد(UI:R)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C) و در بدترین شرایط (قربانی شدن کاربری با سطح دسترسی ادمین)، با سوءاستفاده از این آسیبپذیری، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرند.
محصولات تحت تأثیر
تمام نسخههای ویندوز Yarn در برابر نقص امنیتی مذکور، آسیبپذیر هستند.
توصیههای امنیتی
لازم است که تمام کاربران، هرچه سریعتر این ابزار را به نسخه 1.22.13 یا بالاتر ارتقاء دهند.
منابع خبر:
[1] https://access.redhat.com/security/cve/CVE-2021-4435
[2] https://bugzilla.redhat.com/show_bug.cgi?id=2262284
- 33