Злоумышленники научились сбегать из JavaScript-песочницы vm2

Злоумышленники научились сбегать из JavaScript-песочницы vm2

В этом им помогает критическая RCE уязвимость, позволяющая обойти vm2 и выполнить произвольный код.

Исследователи из компании Oxeye сообщили о новой уязвимости в JavaScript-песочнице vm2, отслеживаемой под идентификатором CVE-2022-36067. Она получила кодовое название Sandbreak и имеет оценку 10 из 10 по шкале CVSS.

vm2 – одна из самых популярных JavaScript-песочниц, за неделю ее скачивают около 3,5 миллионов раз.

По словам исследователей, успешная эксплуатация CVE-2022-36067 позволяет злоумышленнику обойти среду vm2 и удаленно выполнить шелл-команды в системе жертвы, использующей песочницу.

Эксперты предполагают, что использование CVE-2022-36067 может иметь тяжелые последствия для приложений, которые используют песочницу без исправлений и крайне рекомендуют установить версию 3.9.11 , в которой уязвимость устранена.

С дополнительными техническими подробностями можно ознакомиться на GitHub или по ссылке .

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь