Разработчики JavaScript-песочницы vm2 выпустили патч для устранения критической уязвимости, которую можно использовать для обхода защитных мер и выполнения произвольного шелл-кода. Исследователи, обнаружившие эту проблему, уже обнародовали два PoC-эксплоита, которые обходят защиту песочницы и позволяют создать пустой файл с именем «flag» на хосте.
Библиотека vm2 является популярной JavaScript-песочницей, которую каждый месяц загружают из NPM более 16 млн раз. Она предназначена для запуска ненадежного кода в изолированном контексте на серверах Node.js. Vm2 допускает частичное выполнение кода, но предотвращает несанкционированный доступ к системным ресурсам или внешним данным.
Уязвимость в vm2 была обнаружена специалистами из Корейского института передовых технологий (KAIST) 6 апреля 2023 года, что побудило разработчиков срочно выпустить исправленную версию 3.9.15.
Проблеме был присвоен идентификатор CVE-2023-29017, и по шкале оценки уязвимостей CVSS она набрала максимальные 10 баллов из 10 возможных. Баг был связан с неправильной обработкой ошибок в асинхронных функциях, а его использование могло привести к побегу из песочницы и удаленному выполнению кода на хосте, где она работает.
После выхода патча специалисты KAIST опубликовали сразу два PoC-эксплоита для CVE-2023-29017, которые создают новый файл с именем «flag» в хост-системе, доказывая, что защиту песочницы можно обойти и выполнять команды на создание произвольных файлов на хосте.
