Разработчики vm2, модуля JavaScript-песочницы, выпустили патч, устраняющий критическую уязвимость. С помощью этой бреши атакующие могут выбраться за пределы песочницы и выполнить шелл-код.
Проблема затрагивает все версии vm2, включая 3.9.14. О баге 6 апреля сообщил исследователь Южной Кореи, а в прошедшую пятницу разработчики уже подготовили патч с выходом версии 3.9.15.
«Условный злоумышленник может обойти защитный периметр песочницы и получить возможность выполнить код на хосте», — объясняют девелоперы.
Уязвимость получила идентификатор CVE-2023-29017 и 9,8 балла по шкале CVSS. Корень проблемы кроется в некорректном способе обработки ошибок, возникающих в асинхронных функциях.
Сама библиотека vm2 пользуется популярностью у тех, кому надо запускать подозрительный код в защищенной среде. Модуль насчитывает почти четыре миллиона загрузок еженедельно. Известно также, что vm2 используется в 721 пакете.
Специалисты KAIST подготовили сразу два варианта демонстрационного эксплойта для CVE-2023-29017.
