vm2 JavaScript sanal alan modülündeki şu anda yamalanmış bir güvenlik açığı, güvenlik engellerini aşmak ve temeldeki makinede rastgele işlemler gerçekleştirmek için uzak bir düşman tarafından kötüye kullanılabilir.
GitHub, “Bir tehdit aktörü, sanal alanı çalıştıran ana bilgisayarda uzaktan kod yürütme hakları elde etmek için sanal alan korumalarını atlayabilir” söz konusu 28 Eylül 2022’de yayınlanan bir danışma belgesinde.
CVE-2022-36067 olarak izlenen ve kod adı Sandbreak olan sorun, CVSS güvenlik açığı puanlama sisteminde maksimum önem derecesi 10’dur. Şu adreste ele alındı: sürüm 3.9.11 28 Ağustos 2022’de yayınlandı.
vm2 bir popüler Düğüm kitaplığı izin verilenler listesindeki yerleşik modüllerle güvenilmeyen kodu çalıştırmak için kullanılır. Aynı zamanda, haftada yaklaşık 3,5 milyon indirme ile en çok indirilen yazılımlardan biridir.
bu eksiklik uygulama güvenlik firması Oxeye’a göre, sandbox’tan kaçmak için Node.js’deki hata mekanizmasına dayanıyor. kusuru keşfetti.
Bu, CVE-2022-36067’den başarılı bir şekilde yararlanılmasının, bir saldırganın vm2 sanal alan ortamını atlamasına ve korumalı alanı barındıran sistemde kabuk komutları çalıştırmasına izin verebileceği anlamına gelir.
Güvenlik açığının kritik doğası ışığında, olası tehditleri azaltmak için kullanıcıların mümkün olan en kısa sürede en son sürüme güncelleme yapmaları önerilir.
Oxeye, “Korumalı alanlar, e-posta sunucularındaki ekli dosyaları incelemek, web tarayıcılarında ek bir güvenlik katmanı sağlamak veya belirli işletim sistemlerinde aktif olarak çalışan uygulamaları izole etmek gibi modern uygulamalarda farklı amaçlara hizmet ediyor.” Dedi.
“Korumalı alanlar için kullanım durumlarının doğası göz önüne alındığında, vm2 güvenlik açığının vm2’yi yama yapmadan kullanan uygulamalar için korkunç sonuçları olabileceği açıktır.”