Zuhause > Cyber ​​Aktuelles > CVE-2023-29199: vm2-JavaScript-Bibliothek enthält schwerwiegende Schwachstellen
CYBER NEWS

CVE-2023-29199: vm2-JavaScript-Bibliothek enthält schwerwiegende Schwachstellen

durch   |  Last Update:  |  0 Kommentare  

Die vm2-JavaScript-Bibliothek hat gerade zwei neue Patches veröffentlicht, um zwei kritische Schwachstellen zu mindern, CVE-2023-29199 und CVE-2023-30547, beide bewertet 9.8 auf dem CVSS-Bewertungssystem. Versionen 3.9.16 und 3.9.17, beziehungsweise, enthalten die Korrekturen für die Fehler, die es einem Eindringling ermöglichen, aus der Sandbox zu entkommen und Code im Hostkontext auszuführen.

Seung Hyun Lee, der Sicherheitsforscher, der für die Entdeckung und Meldung der Schwachstellen verantwortlich ist, hat auch PoC-Exploits veröffentlicht. Dies kommt nicht lange nach einem weiteren Sandbox-Escape-Fehler (CVE-2023-29017, CVSS- 9.8) angesprochen wurde. Oxeye-Forscher identifizierten eine besonders schwerwiegende Schwachstelle bei der Remote-Code-Ausführung (CVE-2022-36067, CVSS-Score: 9.8) in vm2 letzten Dezember, mit dem Codenamen Sandbreak.

CVE-2023-29199- vm2-JavaScript-Bibliothek enthält schwerwiegende Schwachstellen

CVE-2023-29199

vm2-Versionen bis zu 3.9.15 sind anfällig für einen Exploit, der es Angreifern ermöglicht, die `handleException()` Ausnahmebereinigungslogik. Diese Umgehung ermöglicht das Durchsickern von nicht bereinigten Hostausnahmen, die dann die Möglichkeit bieten, der Sandbox zu entkommen und Code ausführen im Hostkontext. Das Problem wurde in der Version behoben 3.9.16.

CVE-2023-30547

Die Version „3.9.17“ von „vm2“ enthält einen Patch für eine Schwachstelle in der Ausnahmebereinigung, die in allen früheren Versionen bis „3.9.16“ vorhanden war. Diese Schwachstelle ermöglichte es Angreifern, eine nicht bereinigte Host-Ausnahme innerhalb von „handleException()`, um aus der Sandbox zu entkommen und beliebigen Code im Hostkontext auszuführen. Ab jetzt, es gibt keine Alternativlösungen, Daher wird den Benutzern dringend empfohlen, auf die neueste Version zu aktualisieren.




Was ist die vm2-JavaScript-Bibliothek??

vm2 ist eine beliebte JavaScript-Sandbox-Bibliothek, die von verschiedenen Programmen verwendet wird, wie IDEs, Code-Editoren, und Sicherheitstools, wodurch Code teilweise auf isolierten Node.js-Servern ausgeführt werden kann, während Systemressourcen und externe Daten vor unbefugtem Zugriff geschützt werden.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Zusammenhängende Posts:
  1. Adobe Patches 112 Sicherheitslücken in aktuellem Patch-Paket (CVE-2018-5007) Adobe hat das neueste Patch-Paket veröffentlicht, das eine...
  2. Spotifys Backstage-Anfälligkeit für kritische Remote-Code-Ausführung Eine schwerwiegende Sicherheitslücke in Backstage, ein CNCF-inkubiert, open-source project...
  3. CISA warnt vor CVE-2023-1133, Andere schwerwiegende Fehler in Industriesoftware Am Dienstag, die US-. Agentur für Cybersicherheit und Infrastruktursicherheit (CISA)...
  4. Januar 2023 Patch Tuesday behebt den aktiv ausgenutzten CVE-2023-21674 Die ersten von Microsoft ausgelieferten Fixes für den Patch-Dienstag für 2023...
  5. Gutenberg Template Library WordPress Plugin enthält zwei Fehler (CVE-2021-38312) Two security vulnerabilities were discovered in the Gutenberg Template Library...
  6. VMware vRealize-Protokoll enthält kritische Schwachstellen (CVE-2022-31706) VMware vRealize Log is vulnerable to several critical security vulnerabilities...
  7. Apple behebt CVE-2023-28206, CVE-2023-28205 Zero-Days Apple has released emergency updates to address two actively exploited...
  8. Googles Android-Sicherheitsupdate behebt 47 Sicherheitslücken Google hat sein letztes und wahrscheinlich letztes Android-Update geliefert..

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Datenschutz-Bestimmungen.
Genau