研究人员详细介绍了流行的 vm2 JavaScript 沙箱中报告的关键 RCE 缺陷

vm2 JavaScript 沙盒模块中的一个现已修补的安全漏洞可能会被远程攻击者滥用，以突破安全屏障并在底层机器上执行任意操作。

GitHub在 2022 年 9 月 28 日发布的公告中表示： “威胁行为者可以绕过沙箱保护，在运行沙箱的主机上获得远程代码执行权。”

该问题的编号为 CVE-2022-36067，代号为 Sandbreak，在 CVSS 漏洞评分系统中的最高严重等级为 10。它已在2022 年 8 月 28 日发布的版本 3.9.11中得到解决。

vm2 是一个流行的 Node 库，用于运行带有被列入白名单的内置模块的不受信任的代码。它也是下载量最大的软件之一，每周下载量接近 350 万次。

据发现该漏洞的应用程序安全公司 Oxeye 称，该缺陷的根源在于 Node.js 中逃避沙箱的错误机制。

这意味着成功利用 CVE-2022-36067 可能允许攻击者绕过 vm2 沙箱环境并在托管沙箱的系统上运行 shell 命令。鉴于该漏洞的严重性，建议用户尽快更新到最新版本，以减轻可能的威胁。

“沙盒在现代应用程序中具有不同的用途，例如检查电子邮件服务器中的附件，在网络浏览器中提供额外的安全层，或者隔离某些操作系统中正在运行的应用程序，”Oxeye 说。

“鉴于沙盒用例的性质，很明显 vm2 漏洞可能会对使用 vm2 而不打补丁的应用程序产生可怕的后果。”