vm2 JavaScript 沙箱模块的维护者已经发布了一个补丁来解决一个可能被滥用来突破安全边界并执行任意 shellcode 的严重缺陷。
韩国KAIST WSP 实验室的研究人员于 2023 年 4 月 6 日报告了该缺陷,该缺陷影响所有版本,包括 3.9.14 和之前的版本,促使 vm2 在周五发布了3.9.15 版的修复程序。
“威胁行为者可以绕过沙箱保护,在运行沙箱的主机上获得远程代码执行权,”vm2在一份公告中透露。
该漏洞已被指定为已识别的CVE-2023-29017,在 CVSS 评分系统中的评级为 9.8。问题源于它没有正确处理异步函数中发生的错误。
vm2 是一个流行的库,用于在 Node.js 上的隔离环境中运行不受信任的代码。它每周有近 400 万次下载,并用于721 个软件包。
KAIST 安全研究员 Seongil Wi 还为 CVE-2023-29017 提供了两种不同的概念验证 (PoC) 漏洞变体,它们绕过了沙箱保护并允许在主机上创建一个名为“flag”的空文件.
在 vm2 解决了另一个严重错误( CVE-2022-36067 ,CVSS 评分:10)之后将近六个月,该漏洞可能被武器化以在底层机器上执行任意操作。