08 avril 2023Ravie LakshmananVulnérabilité / Logiciel

Bibliothèque Bac À Sable Vm2

Les mainteneurs du module de bac à sable vm2 JavaScript ont livré un correctif pour corriger une faille critique qui pourrait être exploitée pour sortir des limites de sécurité et exécuter un shellcode arbitraire.

La faille, qui affecte toutes les versions, y compris et avant la 3.9.14, était signalé par des chercheurs basés en Corée du Sud Laboratoire KAIST WSP le 6 avril 2023, incitant vm2 à publier un correctif avec version 3.9.15 vendredi.

« Un acteur malveillant peut contourner les protections du bac à sable pour obtenir des droits d’exécution de code à distance sur l’hôte exécutant le bac à sable », vm2 divulgué dans un avis.

La vulnérabilité a été affectée à l’identification CVE-2023-29017 et est noté 9,8 sur le système de notation CVSS. Le problème provient du fait qu’il ne gère pas correctement les erreurs qui se produisent dans les fonctions asynchrones.

Publicité

vm2 est un bibliothèque populaire qui est utilisé pour exécuter du code non approuvé dans un environnement isolé sur Node.js. Il compte près de quatre millions de téléchargements hebdomadaires et est utilisé dans 721 colis.

WEBINAIRE À VENIR

Apprenez à sécuriser le périmètre d’identité – Stratégies éprouvées

Améliorez la sécurité de votre entreprise grâce à notre prochain webinaire sur la cybersécurité dirigé par des experts : Explorez les stratégies de périmètre d’identité !

Ne manquez rien – Réservez votre siège !

Seongil Wi, chercheur en sécurité au KAIST, a également mis à disposition deux variantes différentes d’un exploit de preuve de concept (PoC) pour CVE-2023-29017 qui contourne les protections du bac à sable et permet la création d’un fichier vide nommé « flag » sur l’hôte.

La divulgation intervient près de six mois après que vm2 ait résolu un autre bogue critique (CVE-2022-36067, score CVSS : 10) qui aurait pu être militarisé pour effectuer des opérations arbitraires sur la machine sous-jacente.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentQuestions et réponses de l’entretien avec la base de données MySQL
Article suivantThe Outer Banks Voice – Identification des maisons originales de l’île Hatteras
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici