MKD-CIRT National Centre for Computer Incident Response
Нова рунда закрпи е достапна за vm2 JavaScript библиотеката за да се решат два критични недостатоци.
И двата недостатоци – CVE-2023-29199 и CVE-2023-30547 – се оценети со 9,8 од 10 на CVSS системот за бодување и се адресирани во верзиите 3.9.16 и 3.9.17, соодветно.
Успешната експлоатација на грешките, му дозволуваат на напаѓачот да изврши произволен код во контекст на домаќинот.
„Напаѓачот може да ја заобиколи sandox заштитата за да изврши remote code execution на домаќинот што работи на sandbox“, изјавија одржувачите на vm2 библиотеката во предупредувањето.
Заслужен за откривањето и известувањето за ранливостите е безбедносниот истражувач SeungHyun Lee, кој исто така објави proof-of-concept (PoC) експлоатации за двете прашања за кои станува збор.
Обелоденувањето доаѓа нешто повеќе од една недела откако vm2 отстрани уште еден пропуст (CVE-2023-29017, CVSS резултат: 9,8) што може да доведе до извршување на произволен код на основниот систем.
Вреди да се напомене дека истражувачите од Oxeye ја детализираа критичната remote code execution ранливост во vm2 кон крајот на минатата година (CVE-2022-36067, CVSS резултат: 9,8) што беше означено со кодно име Sandbreak.
Извор: TheHackerNews