Hackuritate

Icon-linkedin Facebook X-twitter BlueSky
știri infosec zise pe românește

Vulnerabilitate critică în vm2 permite execuția de cod pe sistemul gazdă

Dezvoltatorii librăriei Node.js VM2 au publicat o avertizare de securitate privind o vulnerabilitate critică care permite atacatorilor să ruleze cod malițios pe sistemul gazdă.

Problema afectează mecanismul de „sandboxing”, o tehnică de securitate care izolează codul nesigur pentru a preveni accesul la sistemul gazdă.

Potrivit avizului de securitate publicat de autorul Patrik Simek, vulnerabilitatea, identificată sub codul CVE-2026-26956, afectează versiunile VM2 de la 3.6.0 până la 3.10.4. Aceasta permite ieșirea din sandbox-ul virtualizat prin manipularea obiectelor JavaScript, ducând la execuție de cod în afara izolării intenționate.

Simek a declarat că problema a fost descoperită în urma unor rapoarte de la utilizatori și a fost remediată în versiunea 3.10.5, lansată simultan cu avertizarea.

Librăria VM2, utilizată pentru rularea de cod JavaScript în medii Node.js, oferă un sandbox executor care execută scripturi în contexte izolate pentru a preveni accesul la resursele sistemului gazdă.

Vulnerabilitatea implică o eroare în mecanismul de protecție, permițând atacatorilor să escaladeze privilegiile din interiorul sandbox-ului pentru a se extinde pe sistemul gazdă.

Potrivit descrierii tehnice, atacul necesită ca victima să execute un script malițios în contextul VM2, comun în aplicații web care evaluează cod generat în contextul utilizatorului, cum ar fi chatbots sau interpretoare online.

Nu au fost raportate exploatări active la momentul publicării, dar severitatea este clasificată ca fiind critică datorită impactului potențial asupra serverelor Node.js.

Experții în securitate au avertizat că astfel de vulnerabilități sunt critice în medii multi-tenant, unde mai mulți utilizatori rulează cod pe aceeași infrastructură.

Simek recomandă actualizarea imediată la versiunea 3.10.5 sau una mai nouă și evitarea utilizării funcțiilor nesigure precum vm.run().

„Versiunile afectate trebuie evitate până la patch,” a precizat el în secțiunea de remediere. Dezvoltatorii altor proiecte dependente de VM2 sunt sfătuiți să verifice lanțul de dependențe prin instrumente precum npm audit.

Aceasta nu este prima problemă majoră pentru VM2; librăria a avut anterior vulnerabilități similare, cum ar fi CVE-2019-5420, care au dus la îmbunătățiri în izolarea sandbox-ului.

VM2 este utilizată pe scară largă în ecosistemul Node.js, cu peste 10 milioane de descărcări săptămânale raportate pe npm.

Tags

Picture of Mihai Barnea

Mihai Barnea

Tânăr aspirant la statutul de jurnalist, ajuns deocamdată la nivelul de reporter subscris principiului de informare corectă a publicului.
știri conexe
Stay Connected
Like Us On Facebook
Follow Us On Twitter
Subscribe To Our Channel
ultimele știri
Category
Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna