Злоумышленники научились сбегать из JavaScript-песочницы vm2

Исследователи из компании Oxeye сообщили о новой уязвимости в JavaScript -песочнице vm2, отслеживаемой под идентификатором CVE-2022-36067. Она получила кодовое название Sandbreak и имеет оценку 10 из 10 по шкале CVSS.

vm2 – одна из самых популярных JavaScript-песочниц, за неделю ее скачивают около 3,5 миллионов раз.

По словам исследователей, успешная эксплуатация CVE-2022-36067 позволяет злоумышленнику обойти среду vm2 и удаленно выполнить шелл-команды в системе жертвы, использующей песочницу.

Эксперты предполагают, что использование CVE-2022-36067 может иметь тяжелые последствия для приложений, которые используют песочницу без исправлений и крайне рекомендуют установить версию 3.9.11 , в которой уязвимость устранена.

С дополнительными техническими подробностями можно ознакомиться на GitHub или по ссылке .