-
06/07/2013
-
797
-
1.308 bài viết
Cảnh báo lỗ hổng RCE nghiêm trọng trong JavaScript Sandbox vm2
Lỗ hổng CVE-2022-36067 được vá trong mô-đun JavaScript sandbox vm2 có thể bị kẻ tấn công từ xa lợi dụng để vượt qua hàng rào an ninh, từ đó thực hiện các hoạt động nguy hiểm.
vm2 là một thư viện Node phổ biến được sử dụng để chạy mã không đáng tin cậy với các mô-đun tích hợp trong danh sách cho phép. Đây cũng là một trong những phần mềm được tải xuống phổ biến nhất, chiếm gần 3,5 triệu lượt mỗi tuần.
GitHub cho biết: “Kẻ tấn công có thể vượt qua các biện pháp bảo vệ để chiếm quyền thực thi mã từ xa trên máy chủ chạy sandbox”.
CVE-2022-36067 (hay Sandbreak) với điểm CVSS nghiêm trọng là 10, đã được vá trong phiên bản 3.9.11 được phát hành vào ngày 28 tháng 8 năm 2022.
Khai thác thành công CVE-2022-36067 có thể cho phép kẻ tấn công vượt qua môi trường sandbox vm2 và chạy các lệnh shell trên hệ thống lưu trữ sandbox.
Do tính chất nghiêm trọng của lỗ hổng, người dùng nên cập nhật lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu các mối đe dọa có thể xảy ra.
Công ty bảo mật ứng dụng Oxeye cho biết: “Các sandbox phục vụ các mục đích khác nhau trong các ứng dụng hiện đại như kiểm tra các tập tin đính kèm trong máy chủ email, cung cấp một lớp an ninh bổ sung trong trình duyệt web hoặc cô lập các ứng dụng đang hoạt động trong một số hệ điều hành nhất định”.
"Với bản chất của các trường hợp sử dụng cho sandbox, rõ ràng lỗ hổng vm2 có thể gây ra hậu quả nghiêm trọng cho các ứng dụng sử dụng vm2 mà không có bản vá."
vm2 là một thư viện Node phổ biến được sử dụng để chạy mã không đáng tin cậy với các mô-đun tích hợp trong danh sách cho phép. Đây cũng là một trong những phần mềm được tải xuống phổ biến nhất, chiếm gần 3,5 triệu lượt mỗi tuần.
GitHub cho biết: “Kẻ tấn công có thể vượt qua các biện pháp bảo vệ để chiếm quyền thực thi mã từ xa trên máy chủ chạy sandbox”.
CVE-2022-36067 (hay Sandbreak) với điểm CVSS nghiêm trọng là 10, đã được vá trong phiên bản 3.9.11 được phát hành vào ngày 28 tháng 8 năm 2022.
Khai thác thành công CVE-2022-36067 có thể cho phép kẻ tấn công vượt qua môi trường sandbox vm2 và chạy các lệnh shell trên hệ thống lưu trữ sandbox.
Do tính chất nghiêm trọng của lỗ hổng, người dùng nên cập nhật lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu các mối đe dọa có thể xảy ra.
Công ty bảo mật ứng dụng Oxeye cho biết: “Các sandbox phục vụ các mục đích khác nhau trong các ứng dụng hiện đại như kiểm tra các tập tin đính kèm trong máy chủ email, cung cấp một lớp an ninh bổ sung trong trình duyệt web hoặc cô lập các ứng dụng đang hoạt động trong một số hệ điều hành nhất định”.
"Với bản chất của các trường hợp sử dụng cho sandbox, rõ ràng lỗ hổng vm2 có thể gây ra hậu quả nghiêm trọng cho các ứng dụng sử dụng vm2 mà không có bản vá."
Nguồn: Thehackernews
Chỉnh sửa lần cuối bởi người điều hành: