欢迎user
新华三盾山实验室
2023/04/10
vm2是捷克Patrik Simek个人开发者的一个 Node.js 的高级虚拟机/沙盒 ,可以使用列入白名单的Node内置模块运行不受信任的代码。近日,新华三盾山实验室监测到vm2官方发布了安全公告,修复了一个存在于vm2中的沙箱逃逸漏洞(CVE-2023-29017),且漏洞利用细节已公开,攻击者利用该漏洞可在运行沙箱的主机上执行任意代码。
该漏洞是由于vm2处理异步错误时,不能正确处理Error.prepareStackTrace的宿主对象(宿主对象(Host objects)是指由Node.js的宿主环境提供的对象,例如全局对象、文件系统或网络请求等),恶意攻击者成功利用此漏洞可绕过沙箱保护,在运行沙箱的主机上执行任意代码。
vm2 <= 3.9.14
威胁等级 | 严重 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 10.0 |
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://github.com/patriksimek/vm2/releases/tag/3.9.15
https://github.com/patriksimek/vm2/security/advisories/GHSA-7jxr-cg7f-gpgv