vm2 JavaScript korumalı alan modülünün bakımcıları, güvenlik sınırlarını aşmak ve keyfi kabuk kodu yürütmek için kötüye kullanılabilecek kritik bir kusuru gidermek için bir yama gönderdi.
3.9.14 dahil olmak üzere tüm sürümleri etkileyen kusur, bildirildi Güney Kore merkezli araştırmacılar tarafından KAIST WSP Laboratuvarı 6 Nisan 2023’te, vm2’den bir düzeltme yayınlaması isteniyor sürüm 3.9.15 Cuma gününde.
“Bir tehdit aktörü, korumalı alanı çalıştıran ana bilgisayarda uzaktan kod yürütme hakları elde etmek için korumalı alan korumalarını atlayabilir”, vm2 ifşa bir danışmada.
Güvenlik açığı tanımlanmış olarak atanmıştır. CVE-2023-29017 ve CVSS puanlama sisteminde 9.8 olarak derecelendirilmiştir. Sorun, eşzamansız işlevlerde oluşan hataları düzgün bir şekilde işlememesinden kaynaklanmaktadır.
vm2 bir popüler kütüphane Node.js üzerinde yalıtılmış bir ortamda güvenilmeyen kodu çalıştırmak için kullanılır. Haftada yaklaşık dört milyon kez indiriliyor ve şu alanlarda kullanılıyor: 721 paket.
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
KAIST güvenlik araştırmacısı Seongil Wi de kullanılabilir hale getirdi iki farklı varyant CVE-2023-29017 için korumalı alan korumalarını aşan ve ana bilgisayarda “flag” adlı boş bir dosyanın oluşturulmasına izin veren bir kavram kanıtı (PoC) istismarı.
Açıklama, vm2’nin temel makinede keyfi işlemler gerçekleştirmek için silah haline getirilmiş olabilecek başka bir kritik hatayı (CVE-2022-36067, CVSS puanı: 10) çözmesinden yaklaşık altı ay sonra gelir.