Os mantenedores do módulo sandbox JavaScript vm2 lançaram um patch para corrigir uma falha crítica que pode ser explorada para ultrapassar limites de segurança e executar shellcode arbitrário.
A falha, que afeta todas as versões, incluindo e anteriores à 3.9.14, foi relatada por pesquisadores do KAIST WSP Lab, baseado na Coreia do Sul, em 6 de abril de 2023, levando a vm2 a lançar uma correção com a versão 3.9.15 na sexta-feira.
"Um ator ameaçador pode contornar as proteções do sandbox para obter direitos de execução de código remoto no host em que o sandbox está sendo executado", divulgou a vm2 em um aviso.
A vulnerabilidade foi identificada como
CVE-2023-29017
e é classificada como 9,8 no sistema de pontuação CVSS.
O problema decorre do fato de que não lida corretamente com erros que ocorrem em funções assíncronas.
O vm2 é uma biblioteca popular usada para executar código não confiável em um ambiente isolado no Node.js.
Tem quase quatro milhões de downloads semanais e é usado em 721 pacotes.
O pesquisador de segurança do KAIST, Seongil Wi, também disponibilizou duas variantes diferentes de um exploit de prova de conceito (PoC) para
CVE-2023-29017
que contornam as proteções do sandbox e permitem a criação de um arquivo vazio chamado "flag" no host.
A divulgação ocorre quase seis meses depois que o vm2 resolveu outro bug crítico (
CVE-2022-36067
, pontuação CVSS: 10) que poderia ter sido usado para realizar operações arbitrários na máquina subjacente.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...