Napadači koji koriste ranjivost paketa netmask npm, koji se prati kao CVE-2021-28918, omogućava provođenje raznih napada.
Netmask klasa razvijena je za raščlanjivanje i razumijevanje IPv4 CIDR blokova, može se istražiti i usporediti. Ovaj je modul nadahnut modulom Perl Net :: Netmask. Paket registrira milijune preuzimanja tjedno i trenutno ga koristi više od 278 000 projekata.
Nedostatak CVE-2021-28918 leži u činjenici da će mrežna maska pogrešno pročitati oktalno kodiranje ne prepoznajući IP adrese i razlikujući IP adrese od vanjskih IP adresa, što dovodi do širokog spektra napada.
Krivotvorenje zahtjeva poslužitelja, lokalno i daljinsko uključivanje datoteka, samo su neki od napada koje bi napadači mogli provesti.
Ispod vremenske trake otkrivanja:
- 2021-03-16 - Istraživači otkrivaju ranjivost
- 2021-03-17 - obaviješten dobavljač
- 2021-03-17 - zatražen je CVE
- 2021-03-19 - CVE je dodijelio CVE-2021-28918
- 2021-03-28 - Objavljena ranjivost