Los mantenedores del módulo de espacio aislado de JavaScript vm2 enviaron un parche para abordar una falla crítica que podría abusarse para romper los límites de seguridad y ejecutar shellcode arbitrario.
La falla, que afecta a todas las versiones, incluida y anterior a la 3.9.14, fue reportado por investigadores de Corea del Sur Laboratorio KAIST WSP el 6 de abril de 2023, lo que provocó que vm2 publicara una solución con versión 3.9.15 el viernes.
«Un actor de amenazas puede eludir las protecciones de la zona de pruebas para obtener derechos de ejecución remota de código en el host que ejecuta la zona de pruebas», vm2 revelado en un aviso.
A la vulnerabilidad se le ha asignado el identificado CVE-2023-29017 y tiene una calificación de 9.8 en el sistema de calificación CVSS. El problema surge del hecho de que no maneja adecuadamente los errores que ocurren en las funciones asincrónicas.
vm2 es un biblioteca popular que se usa para ejecutar código que no es de confianza en un entorno aislado en Node.js. Tiene casi cuatro millones de descargas semanales y se utiliza en 721 paquetes.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
El investigador de seguridad de KAIST, Seongil Wi, también ha puesto a disposición dos variantes diferentes de un exploit de prueba de concepto (PoC) para CVE-2023-29017 que elude las protecciones de la zona de pruebas y permite la creación de un archivo vacío llamado «bandera» en el host.
La divulgación se produce casi seis meses después de que vm2 resolviera otro error crítico (CVE-2022-36067, puntuación CVSS: 10) que podría haberse utilizado como arma para realizar operaciones arbitrarias en la máquina subyacente.