A szakértők kritikus hibát (CVE-2021-23406) találtak a ‘Pac-Resolver’ NPM csomagban, amelyet hetente több millióan töltenek le. A sebezhetőséget kihasználva a támadók rosszindulatú kódot futtathatnak a Node.js alkalmazásokon belül. A hiba a Pac-Resolver 5.0.0 előtti verzióit érinti, és 8,1-es CVSS pontszámot kapott. Egy proxy auto-config (PAC) fájl határozza meg, hogy a webböngészők és más kliensalkalmazások hogyan tudják automatikusan kiválasztani a megfelelő proxyt (hozzáférési módszert) egy adott URL lekérdezéséhez. A PAC fájl egy JavaScriptben írt script, ami dinamikusan utasítja a HTTP klienst, hogy egy adott hostnévhez melyik proxyt használja. A PAC fájlok kihasználhatók a sandbox-ból való kiléptetésre és rosszindulatú kód futtatására a mögöttes operációs rendszeren. A sebezhetőség veszélyezteti a CIA követelmények teljesülését, vagyis az adatok bizalmasságát, sértetlenségét és a rendszer rendelkezésre állását. A hibát a Pac-Resolver v5.0.0-ban, a Pac-Proxy-Agent v5.0.0-ban és a Proxy-Agent v5.0.0.0-ban orvosolták. A fejlesztőcsapat a VM beépített modulja helyett egy valódi sandbox használatával kezelte a hibát.
