×

Злоумышленники научились сбегать из JavaScript-песочницы vm2

Злоумышленники научились сбегать из JavaScript-песочницы vm2

В этом им помогает критическая RCE уязвимость, позволяющая обойти vm2 и выполнить произвольный код.

Исследователи из компании Oxeye сообщили о новой уязвимости в JavaScript-песочнице vm2, отслеживаемой под идентификатором CVE-2022-36067. Она получила кодовое название Sandbreak и имеет оценку 10 из 10 по шкале CVSS.

vm2 – одна из самых популярных JavaScript-песочниц, за неделю ее скачивают около 3,5 миллионов раз.

По словам исследователей, успешная эксплуатация CVE-2022-36067 позволяет злоумышленнику обойти среду vm2 и удаленно выполнить шелл-команды в системе жертвы, использующей песочницу.

Эксперты предполагают, что использование CVE-2022-36067 может иметь тяжелые последствия для приложений, которые используют песочницу без исправлений и крайне рекомендуют установить версию 3.9.11 , в которой уязвимость устранена.

С дополнительными техническими подробностями можно ознакомиться на GitHub или по ссылке .

Кибератака на базу данных студентов Индии приведет к массовым взломам индусов

Утечка данных студентов вынуждает повысить кибербезопасность страны.

Новая кампания социальной инженерии отбирает номера у мобильных операторов

Хакеры атакуют телекоммуникационные компании, чтобы завладеть чужим номером.

В России предложили ввести идентификацию геймеров

По мнению законодателей,  идентификация геймеров, позволит запретить несовершеннолетним играть в жестокие игры.