Un adversario remoto podría abusar de una falla de seguridad ahora parcheada en el módulo de espacio aislado de JavaScript vm2 para romper las barreras de seguridad y realizar operaciones arbitrarias en la máquina subyacente.
«Un actor de amenazas puede eludir las protecciones de la zona de pruebas para obtener derechos de ejecución remota de código en el host que ejecuta la zona de pruebas», GitHub dijo en un aviso publicado el 28 de septiembre de 2022.
El problema, rastreado como CVE-2022-36067 y con el nombre en código Sandbreak, tiene una clasificación de gravedad máxima de 10 en el sistema de puntuación de vulnerabilidad CVSS. Ha sido abordado en versión 3.9.11 publicado el 28 de agosto de 2022.
vm2 es un biblioteca de nodos populares que se utiliza para ejecutar código que no es de confianza con módulos integrados incluidos en la lista de permitidos. También es uno de los programas más descargados, con casi 3,5 millones de descargas por semana.
los defecto tiene sus raíces en el mecanismo de error en Node.js para escapar de la caja de arena, según la firma de seguridad de aplicaciones Oxeye, que descubrió la falla.
Esto significa que la explotación exitosa de CVE-2022-36067 podría permitir a un atacante eludir el entorno de sandbox vm2 y ejecutar comandos de shell en el sistema que aloja el sandbox.
En vista de la naturaleza crítica de la vulnerabilidad, se recomienda a los usuarios que actualicen a la última versión lo antes posible para mitigar posibles amenazas.
«Los sandboxes sirven para diferentes propósitos en las aplicaciones modernas, como examinar archivos adjuntos en servidores de correo electrónico, proporcionar una capa de seguridad adicional en los navegadores web o aislar aplicaciones que se ejecutan activamente en ciertos sistemas operativos», dijo Oxeye.
«Dada la naturaleza de los casos de uso de sandboxes, está claro que la vulnerabilidad de vm2 puede tener consecuencias nefastas para las aplicaciones que usan vm2 sin aplicar parches».