Les mainteneurs du module de bac à sable vm2 JavaScript ont livré un correctif pour corriger une faille critique qui pourrait être exploitée pour sortir des limites de sécurité et exécuter un shellcode arbitraire.
La faille, qui affecte toutes les versions, y compris et avant la 3.9.14, était signalé par des chercheurs basés en Corée du Sud Laboratoire KAIST WSP le 6 avril 2023, incitant vm2 à publier un correctif avec version 3.9.15 vendredi.
« Un acteur malveillant peut contourner les protections du bac à sable pour obtenir des droits d’exécution de code à distance sur l’hôte exécutant le bac à sable », vm2 divulgué dans un avis.
La vulnérabilité a été affectée à l’identification CVE-2023-29017 et est noté 9,8 sur le système de notation CVSS. Le problème provient du fait qu’il ne gère pas correctement les erreurs qui se produisent dans les fonctions asynchrones.
vm2 est un bibliothèque populaire qui est utilisé pour exécuter du code non approuvé dans un environnement isolé sur Node.js. Il compte près de quatre millions de téléchargements hebdomadaires et est utilisé dans 721 colis.
Apprenez à sécuriser le périmètre d’identité – Stratégies éprouvées
Améliorez la sécurité de votre entreprise grâce à notre prochain webinaire sur la cybersécurité dirigé par des experts : Explorez les stratégies de périmètre d’identité !
Seongil Wi, chercheur en sécurité au KAIST, a également mis à disposition deux variantes différentes d’un exploit de preuve de concept (PoC) pour CVE-2023-29017 qui contourne les protections du bac à sable et permet la création d’un fichier vide nommé « flag » sur l’hôte.
La divulgation intervient près de six mois après que vm2 ait résolu un autre bogue critique (CVE-2022-36067, score CVSS : 10) qui aurait pu être militarisé pour effectuer des opérations arbitraires sur la machine sous-jacente.