Lỗ hổng thực thi mã từ xa nghiêm trọng trong sandbox JavaScript vm2  

Các nhà nghiên cứu từ KAIST WSP Lab (Hàn Quốc) đã thông báo về một lỗ hổng nghiêm trọng trong thư viện sandbox JavaScript vm2 có thể bị khai thác để vượt qua các biện pháp bảo vệ sandbox và thực thi mã tùy ý từ xa.  

Lỗ hổng được theo dõi với mã định danh là CVE-2023-29017 (điểm CVSS 9,8) ảnh hưởng đến tất cả các phiên bản trước 3.9.15. 

Lỗ hổng này bắt nguồn từ việc xử lý không đúng đối tượng máy chủ được chuyển đến Error.prepareStackTrace trong trường hợp lỗi không đồng bộ chưa được xử lý. Bằng cách khai thác điểm yếu này, kẻ tấn công có thể qua mặt các biện pháp bảo vệ của sandbox và giành quyền thực thi mã từ xa trên máy chủ chạy sandbox. 

Vm2 là một thư viện phổ biến được sử dụng để chạy mã không đáng tin cậy trong môi trường bị cô lập trên Node.js, với hơn 4 triệu lượt tải xuống hàng tuần, công cụ này được sử dụng rộng rãi và đóng vai trò quan trọng đối với rất nhiều nhà phát triển và tổ chức. 

Vm2 đã phát hành bản vá với phiên bản 3.9.15 vào ngày 8/4/2023 để giải quyết lỗ hổng CVE-2023-29017. Người dùng nên cập nhật phần mềm lên phiên bản mới nhất để đảm bảo an toàn.  

Nguồn: Thehackernews.com, Securityonline.info