Exploit-Code: Schadcode könnte aus JavaScript-Sandbox vm2 ausbrechen
Die populäre vm2-Sandbox hat eine kritische Sicherheitslücke und Exploit-Code ist bereits im Umlauf.
(Bild: Artur Szczybylo/Shutterstock.com)
Angreifer könnten zeitnah Systeme mit der JavaScript-Sandbox vm2 attackieren und mit Schadcode aus der Sandbox ausbrechen. Als Basis dafür könnte jüngst veröffentlichter Exploit-Code dienen.
Mit der vm2-Bibliothek führen Entwickler nicht vertrauenswürdigen Code abgeschottet auf einem Node.js-Server aus. Die vm2-Sandbox ist weit verbreitet und wird monatlich millionenfach aus dem NPM-Repository heruntergeladen.
Ausbruch ins Host-System
Die „kritische“ Sicherheitslücke (CVE-2023-29017) ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Wie aus einer Warnmeldung hervorgeht, kommt es bei der Verarbeitung von Hoste-Objekten im Kontext der Funktion Error.prepareStackTrace zu Fehlern, sodass Angreifer aus der Sandbox ausbrechen können. Im Anschluss könnten sie eigenen Code im Host-System ausführen und so den Computer vollständig kompromittieren.
Die Entwickler geben an, die Lücke in der vm2-Version 3.9.15 geschlossen zu haben. Alle vorigen Ausgaben sollen verwundbar sein.
Mittlerweile ist Version 3.9.17 erschienen, in der die Entwickler eine weitere "kritische" Sicherheitslücke (CVE-2023-30547) geschlossen haben.
(des)
