В JavaScript-библиотеке и песочнице vm2 нашли критическую уязвимость

Исследователи из компании Oxeye обнаружили критическую уязвимость в популярной JavaScript-библиотеке vm2. Брешь получила имя “SandBreak“ и 10 баллов по шкале CVSS. Специалистам по кибербезопасности, использующим vm2, стоит незамедлительно пропатчить библиотеку.

Библиотека vm2 является наиболее популярной JavaScript-песочницей, которую за один месяц скачивают 16,5 млн раз. Она предоставляет фреймворк для тестов, с помощью которого можно запускать подозрительный код в одном процессе.

Эту тестовую среду используют миллионы разработчиков, поскольку она обеспечивает полный контроль над выводом консоли песочницы. Задействовавшие vm2 девелоперы также получают возможность ограничить доступ к определённым встроенным модулям и методам вызова.

Команда исследователей из Oxeye выявила в vm2 критическую уязвимость, которая может привести к обходу песочницы и удалённому выполнению кода. Авторам проекта сразу же сообщили о проблеме, после чего те выпустили патч с версией 3.9.11. GitHub также опубликовал своё уведомление, в котором приводится идентификатор уязвимости — CVE-2022-36067.

Если условному атакующему удастся использовать эксплойт, он сможет обойти среду vm2 и запустить шелл-команды на хосте. Именно поэтому не стоит пренебрегать советами пропатчить SandBreak как можно скорее.