研究人员详细介绍了流行的vm2 JavaScript沙盒中报告的关键RCE缺陷

vm2 JavaScript沙盒模块中现已修补的安全漏洞可能会被远程对手滥用，以突破安全障碍并在底层机器上执行任意操作。

GitHub在2022年9月28日发布的一份报告中说:“威胁行为者可以绕过沙盒保护，在运行沙盒的主机上获得远程代码执行权”。

该问题被追踪为CVE-22-36067，代号为Sandbreak，在CVSS漏洞评分系统中，其严重程度最高为10。2022年8月28日发布的3.9.11版中已经解决了这个问题。

vm2是一个流行的Node库，用于运行不受信任的代码和允许列出的内置模块。它也是下载量最大的软件之一，每周下载量近350万次。

该缺点根源于节点中的错误机制。发现该漏洞的应用程序安全公司Oxeye表示，js可以逃离沙盒。

这意味着，成功利用CVE-22-36067可以让攻击者绕过vm2沙盒环境，在托管沙盒的系统上运行shell命令。

鉴于该漏洞的严重性，建议用户尽快更新到最新版本，以减轻可能的威胁。

Oxeye说：“沙盒在现代应用程序中有不同的用途，比如检查电子邮件服务器中的附加文件，在web浏览器中提供额外的安全层，或者隔离某些操作系统中正在运行的应用程序”。

“鉴于沙盒用例的性质，很明显，vm2漏洞可能会对使用vm2而不进行修补的应用程序造成严重后果”。