Une nouvelle série de correctifs a été mise à disposition pour la bibliothèque JavaScript vm2 afin de corriger deux failles critiques qui pourraient être exploitées pour sortir des protections du bac à sable et permettre l’exécution de code.
Les deux défauts – CVE-2023-29199 et CVE-2023-30547 – sont notés 9,8 sur 10 sur le système de notation CVSS et ont été traités dans les versions 3.9.16 et 3.9.17, respectivement.
Réussi exploitation de la insectesqui permettent à un attaquant de déclencher une exception d’hôte non nettoyé, pourraient être transformés en armes pour échapper au bac à sable et exécuter du code arbitraire dans le contexte de l’hôte.
« Un acteur malveillant peut contourner les protections du bac à sable pour obtenir des droits d’exécution de code à distance sur l’hôte exécutant le bac à sable », ont déclaré les responsables de la bibliothèque vm2 dans une alerte.
Le chercheur en sécurité est crédité d’avoir découvert et signalé les vulnérabilités SeungHyun Leequi a également libéré preuve de concept (PoC) pour les deux problèmes en question.
La divulgation intervient un peu plus d’une semaine après que vm2 a corrigé une autre faille d’échappement du bac à sable (CVE-2023-29017, score CVSS : 9,8) qui pourrait conduire à l’exécution de code arbitraire sur le système sous-jacent.
Il convient de noter que les chercheurs d’Oxeye ont détaillé une vulnérabilité critique d’exécution de code à distance dans vm2 à la fin de l’année dernière (CVE-2022-36067, score CVSS : 9,8) qui portait le nom de code Sandbreak.