Un adversario remoto podr\u00eda abusar de una falla de seguridad ahora parcheada en el m\u00f3dulo de espacio aislado de JavaScript vm2 para romper las barreras de seguridad y realizar operaciones arbitrarias en la m\u00e1quina subyacente.<\/p>\n
“Un actor de amenazas puede eludir las protecciones de la zona de pruebas para obtener derechos de ejecuci\u00f3n remota de c\u00f3digo en el host que ejecuta la zona de pruebas”, GitHub dijo<\/a> en un aviso publicado el 28 de septiembre de 2022.<\/p>\n El problema, rastreado como CVE-2022-36067 y con el nombre en c\u00f3digo Sandbreak, tiene una clasificaci\u00f3n de gravedad m\u00e1xima de 10 en el sistema de puntuaci\u00f3n de vulnerabilidad CVSS. Ha sido abordado en versi\u00f3n 3.9.11<\/a> publicado el 28 de agosto de 2022.<\/p>\n vm2 es un biblioteca de nodos populares<\/a> que se utiliza para ejecutar c\u00f3digo que no es de confianza con m\u00f3dulos integrados incluidos en la lista de permitidos. Tambi\u00e9n es uno de los programas m\u00e1s descargados, con casi 3,5 millones de descargas por semana.<\/p>\n los defecto<\/a> tiene sus ra\u00edces en el mecanismo de error en Node.js para escapar de la caja de arena, seg\u00fan la firma de seguridad de aplicaciones Oxeye, que descubri\u00f3 la falla<\/a>.<\/p>\n Esto significa que la explotaci\u00f3n exitosa de CVE-2022-36067 podr\u00eda permitir a un atacante eludir el entorno de sandbox vm2 y ejecutar comandos de shell en el sistema que aloja el sandbox.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1665010874_885_Los-piratas-informaticos-aprovechan-la-vulnerabilidad-del-controlador-de-Dell.png\")
<\/a><\/div>\n![\"Zona](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1665497774_326_Los-investigadores-detallan-la-falla-critica-de-RCE-informada-en.jpg\" "\\"Zona")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/div>\n