vm2 JavaScript-biblioteket har netop udgivet to nye patches for at afbøde to kritiske sårbarheder, CVE-2023-29199 og CVE-2023-30547, begge vurderet 9.8 på CVSS-scoringssystemet. versioner 3.9.16 og 3.9.17, henholdsvis, indeholder rettelserne til fejlene, som gør det muligt for en ubuden gæst at undslippe sandkassen og udføre kode i værtskonteksten.
SeungHyun Lee, sikkerhedsforskeren, der er ansvarlig for at opdage og rapportere fejlene, har også udgivet PoC exploits. Dette kommer ikke længe efter endnu en sandkasseundslipningsfejl (CVE-2023-29017, CVSS 9.8) blev adresseret. Oxeye-forskere identificerede en særlig alvorlig sårbarhed ved fjernudførelse af kode (CVE-2022-36067, CVSS-score: 9.8) i vm2 i december sidste år, kodenavnet Sandbreak.
CVE-2023-29199
vm2 versioner op til 3.9.15 er sårbare over for en udnyttelse, der tillader trusselsaktører at omgå `handleException()` undtagelses sanitiseringslogik. Denne bypass tillader lækage af usanificerede værtsundtagelser, som så giver midlerne til at undslippe sandkassen og udføre kode i værtssammenhæng. Problemet blev rettet i version 3.9.16.
CVE-2023-30547
Versionen "3.9.17" af "vm2" indeholder en patch for en sårbarhed i undtagelsessanering, som var til stede i alle tidligere versioner op til "3.9.16".. Denne sårbarhed gjorde det muligt for angribere at bruge en usanificeret host-undtagelse i `handleException()` for at undslippe sandkassen og udføre vilkårlig kode i værtskonteksten. Fra nu af, der findes ingen alternative løsninger, så brugere opfordres kraftigt til at opgradere til den nyeste version.
Hvad er vm2 JavaScript-bibliotek?
vm2 er et populært JavaScript-sandbox-bibliotek, der bruges af forskellige programmer, som IDE'er, kode editorer, og sikkerhedsværktøjer, som lader kode delvist køre på isolerede Node.js-servere, mens systemressourcer og eksterne data beskyttes mod uautoriseret adgang.