![](https://breachtrace.com/wp-content/uploads/2023/04/sand-box-1024x576.jpg)
Un code d’exploitation de preuve de concept a été publié pour une vulnérabilité critique récemment révélée dans la célèbre bibliothèque VM2, un bac à sable JavaScript utilisé par plusieurs logiciels pour exécuter du code en toute sécurité dans un environnement virtualisé.
La bibliothèque est conçue pour exécuter du code non approuvé dans un contexte isolé sur des serveurs Node.js. Il permet l’exécution partielle du code et empêche l’accès non autorisé aux ressources système ou aux données externes.
VM2 compte plus de 16 millions de téléchargements mensuels via le référentiel de packages NPM et est utilisé par les environnements de développement intégrés (IDE) et les éditeurs de code, les solutions de fonction en tant que service (FaaS), les cadres de test de pénétration, les outils de sécurité et divers Produits liés à JavaScript.
Niveau de gravité maximal
Suivie sous le nom de CVE-2023-29017, la vulnérabilité récemment corrigée a reçu le score de gravité maximum de 10,0. Il a été découvert par l’équipe de recherche du Korea Advanced Institute of Science and Technology (KAIST).
Les chercheurs ont découvert que la bibliothèque VM2 ne gérait pas correctement les objets hôtes transmis à la fonction « Error.prepareStackTrace » lorsqu’une erreur asynchrone se produit.
L’exploitation du problème de sécurité peut conduire à contourner les protections du bac à sable et à obtenir l’exécution de code à distance sur l’hôte.
« Un acteur malveillant peut contourner les protections du bac à sable pour obtenir des droits d’exécution de code à distance sur l’hôte exécutant le bac à sable », lit-on dans l’avis de sécurité.
Le problème affecte toutes les versions de VM2 à partir de la version 3.9.14 et antérieures. Le problème a été résolu avec la sortie d’une nouvelle version de la bibliothèque, 3.9.15. Il n’y a pas de solution de contournement disponible.
Code d’exploitation disponible
Après la publication de la nouvelle version de VM2 qui corrige une vulnérabilité critique, Seongil Wi, étudiant au doctorat de KAIST, a publié sur GitHub dans un référentiel secret deux variantes du code d’exploitation pour CVE-2023-29017.
Les PoC, dans leur forme publiée, créent simplement un nouveau fichier nommé « drapeau » sur le système hôte, prouvant que les protections du bac à sable de VM2 peuvent être contournées, permettant l’exécution de commandes pour créer des fichiers arbitraires sur le système hôte.
En octobre 2022, VM2 a souffert d’une autre faille critique, CVE-2022-36067, qui a également permis aux attaquants d’échapper à l’environnement sandbox et d’exécuter des commandes sur le système hôte. Ce problème a également été résolu rapidement avec la sortie d’une nouvelle version de la bibliothèque.