Die vm2-JavaScript-Bibliothek hat gerade zwei neue Patches veröffentlicht, um zwei kritische Schwachstellen zu mindern, CVE-2023-29199 und CVE-2023-30547, beide bewertet 9.8 auf dem CVSS-Bewertungssystem. Versionen 3.9.16 und 3.9.17, beziehungsweise, enthalten die Korrekturen für die Fehler, die es einem Eindringling ermöglichen, aus der Sandbox zu entkommen und Code im Hostkontext auszuführen.
Seung Hyun Lee, der Sicherheitsforscher, der für die Entdeckung und Meldung der Schwachstellen verantwortlich ist, hat auch PoC-Exploits veröffentlicht. Dies kommt nicht lange nach einem weiteren Sandbox-Escape-Fehler (CVE-2023-29017, CVSS- 9.8) angesprochen wurde. Oxeye-Forscher identifizierten eine besonders schwerwiegende Schwachstelle bei der Remote-Code-Ausführung (CVE-2022-36067, CVSS-Score: 9.8) in vm2 letzten Dezember, mit dem Codenamen Sandbreak.
CVE-2023-29199
vm2-Versionen bis zu 3.9.15 sind anfällig für einen Exploit, der es Angreifern ermöglicht, die `handleException()` Ausnahmebereinigungslogik. Diese Umgehung ermöglicht das Durchsickern von nicht bereinigten Hostausnahmen, die dann die Möglichkeit bieten, der Sandbox zu entkommen und Code ausführen im Hostkontext. Das Problem wurde in der Version behoben 3.9.16.
CVE-2023-30547
Die Version „3.9.17“ von „vm2“ enthält einen Patch für eine Schwachstelle in der Ausnahmebereinigung, die in allen früheren Versionen bis „3.9.16“ vorhanden war. Diese Schwachstelle ermöglichte es Angreifern, eine nicht bereinigte Host-Ausnahme innerhalb von „handleException()`, um aus der Sandbox zu entkommen und beliebigen Code im Hostkontext auszuführen. Ab jetzt, es gibt keine Alternativlösungen, Daher wird den Benutzern dringend empfohlen, auf die neueste Version zu aktualisieren.
Was ist die vm2-JavaScript-Bibliothek??
vm2 ist eine beliebte JavaScript-Sandbox-Bibliothek, die von verschiedenen Programmen verwendet wird, wie IDEs, Code-Editoren, und Sicherheitstools, wodurch Code teilweise auf isolierten Node.js-Servern ausgeführt werden kann, während Systemressourcen und externe Daten vor unbefugtem Zugriff geschützt werden.