Los mantenedores del m\u00f3dulo de espacio aislado de JavaScript vm2 enviaron un parche para abordar una falla cr\u00edtica que podr\u00eda abusarse para romper los l\u00edmites de seguridad y ejecutar shellcode arbitrario.<\/p>\n
La falla, que afecta a todas las versiones, incluida y anterior a la 3.9.14, fue reportado<\/a> por investigadores de Corea del Sur Laboratorio KAIST WSP<\/a> el 6 de abril de 2023, lo que provoc\u00f3 que vm2 publicara una soluci\u00f3n con versi\u00f3n 3.9.15<\/a> el viernes.<\/p>\n “Un actor de amenazas puede eludir las protecciones de la zona de pruebas para obtener derechos de ejecuci\u00f3n remota de c\u00f3digo en el host que ejecuta la zona de pruebas”, vm2 revelado<\/a> en un aviso.<\/p>\n A la vulnerabilidad se le ha asignado el identificado CVE-2023-29017<\/a> y tiene una calificaci\u00f3n de 9.8 en el sistema de calificaci\u00f3n CVSS. El problema surge del hecho de que no maneja adecuadamente los errores que ocurren en las funciones asincr\u00f3nicas.<\/p>\n vm2 es un biblioteca popular<\/a> que se usa para ejecutar c\u00f3digo que no es de confianza en un entorno aislado en Node.js. Tiene casi cuatro millones de descargas semanales y se utiliza en 721 paquetes<\/a>.<\/p>\n Aprenda a proteger el per\u00edmetro de identidad: estrategias comprobadas<\/p>\n Mejore la seguridad de su empresa con nuestro pr\u00f3ximo seminario web sobre ciberseguridad dirigido por expertos: \u00a1Explore las estrategias del per\u00edmetro de identidad!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n El investigador de seguridad de KAIST, Seongil Wi, tambi\u00e9n ha puesto a disposici\u00f3n dos variantes diferentes<\/a> de un exploit de prueba de concepto (PoC) para CVE-2023-29017 que elude las protecciones de la zona de pruebas y permite la creaci\u00f3n de un archivo vac\u00edo llamado “bandera” en el host.<\/p>\n La divulgaci\u00f3n se produce casi seis meses despu\u00e9s de que vm2 resolviera otro error cr\u00edtico (CVE-2022-36067, puntuaci\u00f3n CVSS: 10) que podr\u00eda haberse utilizado como arma para realizar operaciones arbitrarias en la m\u00e1quina subyacente.<\/p>\n <\/p>\n