Hjem > Cyber ​​Nyheder > CVE-2023-29199: vm2 JavaScript-bibliotek indeholder alvorlige sårbarheder
CYBER NEWS

CVE-2023-29199: vm2 JavaScript-bibliotek indeholder alvorlige sårbarheder

ved   |  Last Update:  |  0 Kommentarer  

vm2 JavaScript-biblioteket har netop udgivet to nye patches for at afbøde to kritiske sårbarheder, CVE-2023-29199 og CVE-2023-30547, begge vurderet 9.8 på CVSS-scoringssystemet. versioner 3.9.16 og 3.9.17, henholdsvis, indeholder rettelserne til fejlene, som gør det muligt for en ubuden gæst at undslippe sandkassen og udføre kode i værtskonteksten.

SeungHyun Lee, sikkerhedsforskeren, der er ansvarlig for at opdage og rapportere fejlene, har også udgivet PoC exploits. Dette kommer ikke længe efter endnu en sandkasseundslipningsfejl (CVE-2023-29017, CVSS 9.8) blev adresseret. Oxeye-forskere identificerede en særlig alvorlig sårbarhed ved fjernudførelse af kode (CVE-2022-36067, CVSS-score: 9.8) i vm2 i december sidste år, kodenavnet Sandbreak.

CVE-2023-29199- vm2 JavaScript-bibliotek indeholder alvorlige sårbarheder

CVE-2023-29199

vm2 versioner op til 3.9.15 er sårbare over for en udnyttelse, der tillader trusselsaktører at omgå `handleException()` undtagelses sanitiseringslogik. Denne bypass tillader lækage af usanificerede værtsundtagelser, som så giver midlerne til at undslippe sandkassen og udføre kode i værtssammenhæng. Problemet blev rettet i version 3.9.16.

CVE-2023-30547

Versionen "3.9.17" af "vm2" indeholder en patch for en sårbarhed i undtagelsessanering, som var til stede i alle tidligere versioner op til "3.9.16".. Denne sårbarhed gjorde det muligt for angribere at bruge en usanificeret host-undtagelse i `handleException()` for at undslippe sandkassen og udføre vilkårlig kode i værtskonteksten. Fra nu af, der findes ingen alternative løsninger, så brugere opfordres kraftigt til at opgradere til den nyeste version.




Hvad er vm2 JavaScript-bibliotek?

vm2 er et populært JavaScript-sandbox-bibliotek, der bruges af forskellige programmer, som IDE'er, kode editorer, og sikkerhedsværktøjer, som lader kode delvist køre på isolerede Node.js-servere, mens systemressourcer og eksterne data beskyttes mod uautoriseret adgang.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Relaterede indlæg:
  1. Adobe Patches 112 Sårbarheder i nyeste patch-pakke (CVE-2018-5007) Adobe har udgivet den seneste patch-pakke, der adresserer en...
  2. Spotifys Backstage sårbar over for kritisk fjernudførelse af kode En alvorlig sikkerhedssårbarhed i Backstage, en CNCF-inkuberet, open-source project...
  3. CISA advarer om CVE-2023-1133, Andre alvorlige fejl i industriel software På tirsdag, USA. Cybersecurity and Infrastructure Security Agency (CISA)...
  4. Januar 2023 Patch Tuesday retter aktivt udnyttet CVE-2023-21674 De første Patch Tuesday-rettelser leveret af Microsoft for 2023...
  5. Gutenberg -skabelonbibliotek WordPress -plugin indeholder to fejl (CVE-2021-38312) Two security vulnerabilities were discovered in the Gutenberg Template Library...
  6. VMware vRealize Log indeholder kritiske sårbarheder (CVE-2022-31706) VMware vRealize Log is vulnerable to several critical security vulnerabilities...
  7. Apple retter CVE-2023-28206, CVE-2023-28205 Zero-Days Apple has released emergency updates to address two actively exploited...
  8. Googles nyeste Android sikkerhedsopdatering Rettelser 47 Sårbarheder Google har leveret deres sidste og sandsynligvis sidste Android-opdatering...

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig