Hjem > Cyber ​​Nyheder > CVE-2023-29199: vm2 JavaScript-bibliotek indeholder alvorlige sårbarheder
CYBER NEWS

CVE-2023-29199: vm2 JavaScript-bibliotek indeholder alvorlige sårbarheder

vm2 JavaScript-biblioteket har netop udgivet to nye patches for at afbøde to kritiske sårbarheder, CVE-2023-29199 og CVE-2023-30547, begge vurderet 9.8 på CVSS-scoringssystemet. versioner 3.9.16 og 3.9.17, henholdsvis, indeholder rettelserne til fejlene, som gør det muligt for en ubuden gæst at undslippe sandkassen og udføre kode i værtskonteksten.

SeungHyun Lee, sikkerhedsforskeren, der er ansvarlig for at opdage og rapportere fejlene, har også udgivet PoC exploits. Dette kommer ikke længe efter endnu en sandkasseundslipningsfejl (CVE-2023-29017, CVSS 9.8) blev adresseret. Oxeye-forskere identificerede en særlig alvorlig sårbarhed ved fjernudførelse af kode (CVE-2022-36067, CVSS-score: 9.8) i vm2 i december sidste år, kodenavnet Sandbreak.

CVE-2023-29199- vm2 JavaScript-bibliotek indeholder alvorlige sårbarheder

CVE-2023-29199

vm2 versioner op til 3.9.15 er sårbare over for en udnyttelse, der tillader trusselsaktører at omgå `handleException()` undtagelses sanitiseringslogik. Denne bypass tillader lækage af usanificerede værtsundtagelser, som så giver midlerne til at undslippe sandkassen og udføre kode i værtssammenhæng. Problemet blev rettet i version 3.9.16.

CVE-2023-30547

Versionen "3.9.17" af "vm2" indeholder en patch for en sårbarhed i undtagelsessanering, som var til stede i alle tidligere versioner op til "3.9.16".. Denne sårbarhed gjorde det muligt for angribere at bruge en usanificeret host-undtagelse i `handleException()` for at undslippe sandkassen og udføre vilkårlig kode i værtskonteksten. Fra nu af, der findes ingen alternative løsninger, så brugere opfordres kraftigt til at opgradere til den nyeste version.




Hvad er vm2 JavaScript-bibliotek?

vm2 er et populært JavaScript-sandbox-bibliotek, der bruges af forskellige programmer, som IDE'er, kode editorer, og sikkerhedsværktøjer, som lader kode delvist køre på isolerede Node.js-servere, mens systemressourcer og eksterne data beskyttes mod uautoriseret adgang.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig