Ngày 19 tháng 4 năm 2023Ravie LakshmananSandbox / Bảo mật phần mềm
Một loạt bản vá mới đã được cung cấp cho thư viện JavaScript vm2 để giải quyết hai lỗ hổng nghiêm trọng có thể bị khai thác để thoát khỏi các biện pháp bảo vệ hộp cát và đạt được khả năng thực thi mã.
Cả hai lỗ hổng – CVE-2023-29199 và CVE-2023-30547 – được xếp hạng 9,8 trên 10 trên hệ thống tính điểm CVSS và đã được xử lý lần lượt trong các phiên bản 3.9.16 và 3.9.17.
Khai thác thành công các lỗi, cho phép kẻ tấn công đưa ra một ngoại lệ máy chủ không được vệ sinh, có thể được vũ khí hóa để thoát khỏi hộp cát và chạy mã tùy ý trong ngữ cảnh máy chủ.
Những người bảo trì thư viện vm2 cho biết trong một cảnh báo: “Kẻ đe dọa có thể vượt qua các biện pháp bảo vệ hộp cát để giành quyền thực thi mã từ xa trên máy chủ chạy hộp cát”.
Nhà nghiên cứu bảo mật SeungHyun Lee được cho là người đã phát hiện và báo cáo các lỗ hổng bảo mật, người cũng đã phát hành các khai thác bằng chứng khái niệm (PoC) cho hai vấn đề được đề cập.
Tiết lộ được đưa ra hơn một tuần sau khi vm2 khắc phục một lỗ hổng thoát hộp cát khác (CVE-2023-29017, điểm CVSS: 9,8) có thể dẫn đến việc thực thi mã tùy ý trên hệ thống cơ bản.
Điều đáng chú ý là các nhà nghiên cứu từ Oxeye đã trình bày chi tiết về lỗ hổng thực thi mã từ xa quan trọng trong vm2 vào cuối năm ngoái (CVE-2022-36067, điểm CVSS: 9,8) có tên mã là Sandbreak.
