Исправленная на текущий момент уязвимость JavaScript-песочницы vm2 может быть удаленно использована для преодоления систем безопасности и выполнения произвольных операций на базовой машине.
«Атакующий может обойти защиту песочницы и получить права на удаленное выполнение кода на хосте, на котором запущена песочница» - говорится в сообщении GitHub, опубликованном 28 сентября 2022 года.
Проблема, отслеживаемая как CVE-2022-36067 и получившая наименование «Sandbreak», имеет максимальный рейтинг критичности 10 по системе оценки уязвимостей CVSS. Она была устранена в версии 3.9.11, выпущенной 28 августа 2022 года.
vm2 - это популярная библиотека Node, которая используется для запуска недоверенного кода с разрешенными встроенными модулями. Она также является одним из наиболее широко загружаемых программных продуктов, на нее приходится почти 3,5 миллиона скачиваний в неделю.
Баг кроется в механизме обработки ошибок в Node.js для выхода из песочницы, по данным компании Oxeye, занимающейся безопасностью приложений, которая обнаружила уязвимость.
Это означает, что успешная эксплуатация CVE-2022-36067 может позволить злоумышленнику обойти среду песочницы vm2 и запустить shell-команды на системе, где находится песочница.
В свете критического характера уязвимости пользователям рекомендуется как можно скорее обновиться до последней версии, чтобы уменьшить возможные риски.
«Песочницы служат различным целям в современных приложениях, например, для проверки вложенных файлов на серверах электронной почты, обеспечения дополнительного уровня безопасности в веб-браузерах или изоляции активно работающих приложений в некоторых операционных системах» - заявили в Oxeye.
«Учитывая характер использования песочниц, очевидно, что уязвимость vm2 может иметь тяжелые последствия для приложений, которые используют vm2 без актуальных патчей».
Источник: https://is-systems.org