Pesquisadores descobrem falha crítica de execução remota de código na biblioteca de sandbox vm2
10 de Abril de 2023

Os mantenedores do módulo sandbox JavaScript vm2 lançaram um patch para corrigir uma falha crítica que pode ser explorada para ultrapassar limites de segurança e executar shellcode arbitrário.

A falha, que afeta todas as versões, incluindo e anteriores à 3.9.14, foi relatada por pesquisadores do KAIST WSP Lab, baseado na Coreia do Sul, em 6 de abril de 2023, levando a vm2 a lançar uma correção com a versão 3.9.15 na sexta-feira.

"Um ator ameaçador pode contornar as proteções do sandbox para obter direitos de execução de código remoto no host em que o sandbox está sendo executado", divulgou a vm2 em um aviso.

A vulnerabilidade foi identificada como CVE-2023-29017 e é classificada como 9,8 no sistema de pontuação CVSS.

O problema decorre do fato de que não lida corretamente com erros que ocorrem em funções assíncronas.

O vm2 é uma biblioteca popular usada para executar código não confiável em um ambiente isolado no Node.js.

Tem quase quatro milhões de downloads semanais e é usado em 721 pacotes.

O pesquisador de segurança do KAIST, Seongil Wi, também disponibilizou duas variantes diferentes de um exploit de prova de conceito (PoC) para CVE-2023-29017 que contornam as proteções do sandbox e permitem a criação de um arquivo vazio chamado "flag" no host.

A divulgação ocorre quase seis meses depois que o vm2 resolveu outro bug crítico ( CVE-2022-36067 , pontuação CVSS: 10) que poderia ter sido usado para realizar operações arbitrários na máquina subjacente.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...