Lỗ hổng thực thi mã từ xa nghiêm trọng trong sandbox JavaScript vm2
Lỗ hổng này bắt nguồn từ việc xử lý không đúng đối tượng máy chủ được chuyển đến Error.prepareStackTrace
Lỗ hổng này bắt nguồn từ việc xử lý không đúng đối tượng máy chủ được chuyển đến Error.prepareStackTrace trong trường hợp lỗi không đồng bộ chưa được xử lý. Bằng cách khai thác điểm yếu này, kẻ tấn công có thể qua mặt các biện pháp bảo vệ của sandbox và giành quyền thực thi mã từ xa trên máy chủ chạy sandbox. Vm2 là một thư viện phổ biến được sử dụng để chạy mã không đáng tin cậy trong môi trường bị cô lập trên Node.js, với hơn 4 triệu lượt tải xuống hàng tuần, công cụ này được sử dụng rộng rãi và đóng vai trò quan trọng đối với rất nhiều nhà phát triển và tổ chức. Vm2 đã phát hành bản vá với phiên bản 3.9.15 vào ngày 8/4/2023 để giải quyết lỗ hổng CVE-2023-29017. Người dùng nên cập nhật phần mềm lên phiên bản mới nhất để đảm bảo an toàn.
Nguồn:
tmgs.vn