首页 科技开发工具 娱乐游玩工具 热门工具   APP 登录/注册 联系/合作
   
 
研究人员发现 vm2 沙箱库中的关键远程代码执行缺陷
vm2 JavaScript 沙箱模块的维护者已经发布了一个补丁来解决一个可能被滥用来突破安全边界并执行任意 shellcode 的严重缺陷。

韩国KAIST WSP 实验室的研究人员于 2023 年 4 月 6 日报告了该缺陷,该缺陷影响所有版本,包括 3.9.14 和之前的版本,促使 vm2 在周五发布了3.9.15 版的修复程序。

“威胁行为者可以绕过沙箱保护,在运行沙箱的主机上获得远程代码执行权,”vm2在一份公告中透露。

该漏洞已被指定为已识别的CVE-2023-29017,在 CVSS 评分系统中的评级为 9.8。问题源于它没有正确处理异步函数中发生的错误。

vm2 是一个流行的库,用于在 Node.js 上的隔离环境中运行不受信任的代码。它每周有近 400 万次下载,并用于721 个软件包。

KAIST 安全研究员 Seongil Wi 还为 CVE-2023-29017 提供了两种不同的概念验证 (PoC) 漏洞变体,它们绕过了沙箱保护并允许在主机上创建一个名为“flag”的空文件.

在 vm2 解决了另一个严重错误( CVE-2022-36067 ,CVSS 评分:10)之后将近六个月,该漏洞可能被武器化以在底层机器上执行任意操作。
最新文章:
所有文章资讯、展示的文字、图片、数字、视频、音频、其它素材等内容均来自网络媒体,仅供学习参考。内容的知识产权归属原始著作权人所有。如有侵犯您的版权,请联系我们并提供相应证明,本平台将仔细验证并删除相关内容。
工具综合排行榜
TOP 1
双计算器 双计算器
同时用两个计算器,用于价格对比、数字分别计算等
TOP 2
推算几天后的日期 推算几天后的日期
推算从某天开始,增加或减少几天后的日期
TOP 3
随机密码生成 随机密码生成
随机生成安全复杂的密码,自由设置密码长度及复杂度
TOP 4
推算孩子的血型 推算孩子的血型
根据父母的血型推测子女的血型
TOP 5
日期转中文大写 日期转中文大写
把数字日期转成中文大写,是财务或商务合同常用的工具
热门内容:       双计算器       推算孩子的血型       随机密码生成       日期转中文大写       推算几天后的日期       达轻每日一景       高校分数线       高校查询       周公解梦大全
首页 科技开发工具大全
娱乐游玩工具大全
登录/注册
联系我们
  用户咨询/建议
kf@ss3316.com


商务合作/推广
hz@ss3316.com

达轻工具 APP

访问手机版网站
使用本平台必读并同意:任何内容仅供谨慎参考,不构成建议,不保证正确,平台不承担任何责任,同意用户协议隐私政策   
BaiduTrust安全认证签章
© 达轻科技 版权所有 增值电信业务经营许可证 ICP备 沪B2-20050023-3