Se puso a disposición una nueva ronda de parches para la biblioteca de JavaScript vm2 para abordar dos fallas críticas que podrían explotarse para romper las protecciones de la zona de pruebas y lograr la ejecución del código.
Ambos defectos – CVE-2023-29199 y CVE-2023-30547 – tienen una puntuación de 9,8 sobre 10 en el sistema de puntuación CVSS y se han abordado en las versiones 3.9.16 y 3.9.17, respectivamente.
Exitoso explotación del insectosque permiten a un atacante generar una excepción de host sin desinfectar, podría usarse como arma para escapar del espacio aislado y ejecutar código arbitrario en el contexto del host.
«Un actor de amenazas puede eludir las protecciones de la zona de pruebas para obtener derechos de ejecución remota de código en el host que ejecuta la zona de pruebas», dijeron los mantenedores de la biblioteca vm2 en una alerta.
Acreditado con el descubrimiento y el informe de las vulnerabilidades es el investigador de seguridad Seung Hyun Leeque también tiene liberado prueba de concepto (PoC) para los dos problemas en cuestión.
La divulgación se produce poco más de una semana después de que vm2 corrigiera otra falla de escape de sandbox (CVE-2023-29017, puntaje CVSS: 9.8) que podría conducir a la ejecución de código arbitrario en el sistema subyacente.
Vale la pena señalar que los investigadores de Oxeye detallaron una vulnerabilidad crítica de ejecución remota de código en vm2 a fines del año pasado (CVE-2022-36067, puntaje CVSS: 9.8) cuyo nombre en código fue Sandbreak.