Faille critique d'exécution de code à distance découverte dans la bibliothèque vm2 Sandbox

vm2 est une bibliothèque populaire utilisée pour exécuter du code non approuvé dans un environnement isolé sur Node.js
Il compte près de quatre millions de téléchargements hebdomadaires et est utilisé dans 721 packages.

Les mainteneurs du module bac à sable vm2 JavaScript ont livré un correctif pour corriger une faille critique qui pourrait être exploitée pour sortir des limites de sécurité et exécuter un shellcode arbitraire.

La faille, qui affecte toutes les versions, y compris et avant la 3.9.14, a été signalée par des chercheurs du KAIST WSP Lab basé en Corée du Sud le 6 avril 2023, incitant vm2 à publier un correctif avec la version 3.9.15

"Un acteur malveillant peut contourner les protections du bac à sable pour obtenir des droits d'exécution de code à distance sur l'hôte exécutant le bac à sable", a révélé vm2 dans un avis.

La vulnérabilité a été identifiée CVE-2023-29017 et est notée 9,8 sur le système de notation CVSS. Le problème provient du fait qu'il ne gère pas correctement les erreurs qui se produisent dans les fonctions asynchrones.

Le chercheur en sécurité de KAIST, Seongil Wi, a également mis à disposition deux variantes différentes d'un exploit de preuve de concept (PoC) pour CVE-2023-29017 qui contourne les protections du bac à sable et permet la création d'un fichier vide nommé "drapeau" sur l'hôte. .

La divulgation intervient près de six mois après que vm2 ait résolu un autre bogue critique (CVE-2022-36067, score CVSS : 10) qui aurait pu être militarisé pour effectuer des opérations arbitraires sur la machine sous-jacente.

Source : The Hacker News