研究人员详细介绍了流行的Vm2 Javascript沙盒中报告的关键Rce缺陷

vm2 JavaScript沙盒模块中的一个现在修补的安全漏洞可能被远程攻击者滥用，以突破安全屏障，在底层机器上执行任意操作。

 GitHub在2022年9月28日发布的一份公告中说：”威胁行为者可以绕过沙盒保护，在运行沙盒的主机上获得远程代码执行权。”

该问题被跟踪为CVE – 2022 – 36067，代号为固沙林，在CVSS漏洞评分系统上的最大严重性评级为10。它在2022年8月28日发布的3.9.11版本中得到了解决。

 Vm2是一个流行的Node库，用于使用所允许的内置模块运行不受信任的代码。它也是下载最广泛的软件之一，每周下载量接近350万次。

这个缺点的根源在于Node . js中的错误机制来逃避沙盒，根据应用安全公司Oxeye的说法，它发现了这个缺陷。

这意味着成功利用CVE – 2022 – 36067可以使攻击者绕过vm2沙箱环境，在沙箱所在的系统上运行Shell命令。

鉴于该漏洞的严重性，建议用户尽快更新到最新版本，以减轻可能的威胁。

 Oxeye说，沙箱在现代应用中服务于不同的目的，例如检查电子邮件服务器中的附加文件，在Web浏览器中提供额外的安全层，或者在某些操作系统中隔离运行的应用程序。

 “考虑到沙盒用例的性质，很明显，vm2漏洞可能会对使用vm2而不进行修补的应用程序造成可怕的后果”。