Une faille de sécurité désormais corrigée dans le module sandbox vm2 JavaScript pourrait être exploitée par un adversaire distant pour briser les barrières de sécurité et effectuer des opérations arbitraires sur la machine sous-jacente.
« Un acteur malveillant peut contourner les protections du bac à sable pour obtenir des droits d’exécution de code à distance sur l’hôte exécutant le bac à sable », GitHub a dit dans un avis publié le 28 septembre 2022.
Le problème, suivi sous le nom de CVE-2022-36067 et nommé Sandbreak, porte une cote de gravité maximale de 10 sur le système de notation de vulnérabilité CVSS. Il a été abordé dans version 3.9.11 sortie le 28 août 2022.
vm2 est un bibliothèque Node populaire qui est utilisé pour exécuter du code non approuvé avec des modules intégrés sur liste blanche. C’est aussi l’un des logiciels les plus téléchargés, avec près de 3,5 millions de téléchargements par semaine.
La défaut est enraciné dans le mécanisme d’erreur de Node.js pour échapper au bac à sable, selon la société de sécurité des applications Oxeye, qui a découvert la faille.
Cela signifie qu’une exploitation réussie de CVE-2022-36067 pourrait permettre à un attaquant de contourner l’environnement de bac à sable vm2 et d’exécuter des commandes shell sur le système hébergeant le bac à sable.
Compte tenu de la nature critique de la vulnérabilité, il est recommandé aux utilisateurs de mettre à jour vers la dernière version dès que possible pour atténuer les menaces éventuelles.
« Les bacs à sable servent à différentes fins dans les applications modernes, telles que l’examen des fichiers joints dans les serveurs de messagerie, la fourniture d’une couche de sécurité supplémentaire dans les navigateurs Web ou l’isolement des applications en cours d’exécution actives dans certains systèmes d’exploitation », a déclaré Oxeye.
« Compte tenu de la nature des cas d’utilisation des bacs à sable, il est clair que la vulnérabilité vm2 peut avoir des conséquences désastreuses pour les applications qui utilisent vm2 sans correctif. »