В этом им помогает критическая RCE уязвимость, позволяющая обойти vm2 и выполнить произвольный код.
Исследователи из компании Oxeye сообщили о новой уязвимости в JavaScript-песочнице vm2, отслеживаемой под идентификатором CVE-2022-36067. Она получила кодовое название Sandbreak и имеет оценку 10 из 10 по шкале CVSS.
vm2 – одна из самых популярных JavaScript-песочниц, за неделю ее скачивают около 3,5 миллионов раз.
По словам исследователей, успешная эксплуатация CVE-2022-36067 позволяет злоумышленнику обойти среду vm2 и удаленно выполнить шелл-команды в системе жертвы, использующей песочницу.
Эксперты предполагают, что использование CVE-2022-36067 может иметь тяжелые последствия для приложений, которые используют песочницу без исправлений и крайне рекомендуют установить версию 3.9.11 , в которой уязвимость устранена.
С дополнительными техническими подробностями можно ознакомиться на GitHub или по ссылке .
Одно найти легче, чем другое. Спойлер: это не темная материя