Un difetto di sicurezza ora corretto nel modulo sandbox JavaScript vm2 potrebbe essere sfruttato da un avversario remoto per superare le barriere di sicurezza ed eseguire operazioni arbitrarie sulla macchina sottostante."Un attore di minacce può aggirare le protezioni sandbox per ottenere diritti di esecuzione di codice remoto sull'host che esegue la sandbox", ha affermato GitHub in un avviso pubblicato il 28 settembre 2022.Il problema, tracciato come CVE-2022-36067 e nome in codice Sandbreak, ha un punteggio di gravità massimo di 10 sul sistema di punteggio di vulnerabilità CVSS.È stato risolto nella versione 3.9.11 rilasciata il 28 agosto 2022.vm2 è una popolare libreria Node utilizzata per eseguire codice non attendibile con moduli integrati consentiti.È anche uno dei software più scaricati, con quasi 3,5 milioni di download a settimana.La mancanza è radicata nel meccanismo di errore in Node.js per sfuggire alla sandbox, secondo la società di sicurezza delle applicazioni Oxeye, che ha scoperto il difetto.Ciò significa che lo sfruttamento riuscito di CVE-2022-36067 potrebbe consentire a un utente malintenzionato di bypassare l'ambiente sandbox vm2 ed eseguire comandi shell sul sistema che ospita la sandbox.Alla luce della natura critica della vulnerabilità, si consiglia agli utenti di eseguire l'aggiornamento all'ultima versione il prima possibile per mitigare possibili minacce."Le sandbox hanno scopi diversi nelle applicazioni moderne, come esaminare i file allegati nei server di posta elettronica, fornire un ulteriore livello di sicurezza nei browser Web o isolare le applicazioni in esecuzione attiva in determinati sistemi operativi", ha affermato Oxeye."Data la natura dei casi d'uso per le sandbox, è chiaro che la vulnerabilità di vm2 può avere conseguenze disastrose per le applicazioni che utilizzano vm2 senza patch".Iscriviti alla newsletter sulla sicurezza informatica e ricevi quotidianamente gli ultimi aggiornamenti sulle notizie direttamente nella tua casella di posta.