Kritisk sårbarhet i Javascript-biblioteket vm2

Oxeye Research har publicerat information om en kritisk sårbarhet i Javascript-biblioteket vm2. Biblioteket kan användas för att köra godtycklig kod i så kallad sandbox-miljö. Enligt uppgift laddas biblioteket ned fler än 16 miljoner gånger per månad. [1]Sårbarheten CVE-2022-36067 (CVSS-klassning 10,0) benämns ”Sandbreak” och gör det möjligt för en angripare att kringgå sandboxmijön och köra kommandon på värdenheten. [1]Sårbarheten upptäcktes och rapporterades 16 augusti och en rättning utfärdades 28 augusti. [2,3]

Påverkade produkter

vm2 <3.9.11

Rekommendationer

CERT-SE rekommenderar att installera säkerhetsuppdateringen så snart som möjligt.Om sandboxmiljöer används för att köra godtycklig kod inom en applikation bör åtgärder vidtas för att mildra konsekvenser av säkerhetsincidenter. Exempelvis kan angriparens attackyta begränsas genom att separarera den logiska delen från mikrotjänsten som kör sandboxkoden.

Källor

[1] https://www.oxeye.io/blog/vm2-sandbreak-vulnerability-cve-2022-36067

[2] https://www.darkreading.com/application-security/critical-open-source-vm2-sandbox-escape-bug-affects-millions

[3] https://github.com/patriksimek/vm2/security/advisories/GHSA-mrgp-mrhc-5jrq