Một lỗ hổng bảo mật hiện đã được vá trong mô-đun hộp cát JavaScript vm2 có thể bị đối thủ từ xa lạm dụng để thoát khỏi các rào cản bảo mật và thực hiện các thao tác tùy ý trên máy cơ bản.
"Một tác nhân đe dọa có thể vượt qua các biện pháp bảo vệ hộp cát để có được quyền thực thi mã từ xa trên máy chủ chạy hộp cát," GitHub cho biết trong một lời khuyên được công bố vào ngày 28 tháng 9 năm 2022.
Vấn đề, được theo dõi là CVE-2022-36067 và có tên mã là Sandbreak, có xếp hạng mức độ nghiêm trọng tối đa là 10 trên hệ thống tính điểm lỗ hổng CVSS. Nó đã được giải quyết trong phiên bản 3.9.11 được phát hành vào ngày 28 tháng 8 năm 2022.
vm2 là một thư viện Node phổ biếnđược sử dụng để chạy mã không đáng tin cậy với các mô-đun tích hợp được liệt kê trong danh sách cho phép. Đây cũng là một trong những phần mềm được tải xuống rộng rãi nhất, chiếm gần 3,5 triệu lượt tải xuống mỗi tuần.
Thiếu sót bắt nguồn từ cơ chế lỗi trong Node.js thoát khỏi sandbox, theo công ty bảo mật ứng dụng Oxeye, công ty đã phát hiện ra lỗ hổng.
Điều này có nghĩa là việc khai thác thành công CVE-2022-36067 có thể cho phép kẻ tấn công vượt qua môi trường hộp cát vm2 và chạy các lệnh shell trên hệ thống lưu trữ hộp cát.
Do tính chất nghiêm trọng của lỗ hổng bảo mật, người dùng nên cập nhật lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu các mối đe dọa có thể xảy ra.
Oxeye nói: "Hộp cát phục vụ các mục đích khác nhau trong các ứng dụng hiện đại, chẳng hạn như kiểm tra các tệp đính kèm trong máy chủ email, cung cấp một lớp bảo mật bổ sung trong trình duyệt web hoặc cách ly các ứng dụng đang chạy tích cực trong một số hệ điều hành nhất định. "
"Với bản chất của các trường hợp sử dụng hộp cát, rõ ràng lỗ hổng vm2 có thể gây ra hậu quả nghiêm trọng cho các ứng dụng sử dụng vm2 mà không cần vá lỗi."