Một bản vá mới đã được phát hành cho thư viện JavaScript vm2 để vá 2 lỗ hổng nghiêm trọng có thể bị khai thác để thoát khỏi sandbox và thực thi mã tùy ý.
Cả hai lỗ hổng CVE-2023-29199 và CVE-2023-30547 đều có điểm CVSS là 9,8/10 và đã được khắc phục trong các phiên bản 3.9.16 và 3.9.17. Khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công thoát khỏi sandbox và chạy mã tùy ý trong ngữ cảnh máy chủ.
Thông tin về những lỗ hổng này được tiết lộ sau hơn 1 tuần khi vm2 vá một lỗ hổng thoát sandbox khác (CVE-2023-29017 có điểm CVSS: 9,8) có thể dẫn đến việc thực thi mã tùy ý trên hệ thống cơ bản.
Nguồn: Thehackernews.com