Un adversario remoto podría abusar de una falla de seguridad ahora parcheada en el módulo de espacio aislado de JavaScript vm2 para romper las barreras de seguridad y realizar operaciones arbitrarias en la máquina subyacente.
«Un actor de amenazas puede eludir las protecciones de la zona de pruebas para obtener derechos de ejecución remota de código en el host que ejecuta la zona de pruebas», dijo GitHub en un aviso publicado el 28 de septiembre de 2022.
El problema, rastreado como CVE-2022-36067 y con el nombre en código Sandbreak, tiene una clasificación de gravedad máxima de 10 en el sistema de puntuación de vulnerabilidad CVSS. Se ha abordado en la versión 3.9.11 lanzada el 28 de agosto de 2022.
vm2 es una biblioteca de nodos popular que se usa para ejecutar código que no es de confianza con módulos integrados incluidos en la lista de permitidos. También es uno de los programas más descargados, con casi 3,5 millones de descargas por semana.
La deficiencia tiene su raíz en el mecanismo de error en Node.js para escapar del sandbox, según la firma de seguridad de aplicaciones Oxeye, que descubrió la falla .
Esto significa que la explotación exitosa de CVE-2022-36067 podría permitir a un atacante eludir el entorno de sandbox vm2 y ejecutar comandos de shell en el sistema que aloja el sandbox.
En vista de la naturaleza crítica de la vulnerabilidad, se recomienda a los usuarios que actualicen a la última versión lo antes posible para mitigar posibles amenazas.
«Los sandboxes sirven para diferentes propósitos en las aplicaciones modernas, como examinar archivos adjuntos en servidores de correo electrónico, proporcionar una capa de seguridad adicional en los navegadores web o aislar aplicaciones que se ejecutan activamente en ciertos sistemas operativos», dijo Oxeye.
«Dada la naturaleza de los casos de uso de sandboxes, está claro que la vulnerabilidad de vm2 puede tener consecuencias nefastas para las aplicaciones que usan vm2 sin aplicar parches».
Fuente: https://thehackernews.com