Sistemas Afectados
La vulnerabilidad afecta a todas las versiones del módulo VM2 anteriores a la 3.9.14 e incluyendo esta última.
Descripción
El módulo de sandbox de JavaScript “VM2” ha publicado un parche para solucionar una vulnerabilidad crítica que permitiría a un atacante saltarse las restricciones de seguridad y ejecutar shellcode arbitrario en el host objetivo. La vulnerabilidad fue reportada el 6 de abril de 2023 por investigadores del KAIST WSP Lab de Corea del Sur y afecta a todas las versiones, incluyendo y anteriores a la versión 3.9.14.
La vulnerabilidad, identificada como CVE-2023-29017, tiene una puntuación de 9.8 en el sistema de puntuación CVSS. El problema radica en el hecho de que no maneja adecuadamente los errores que ocurren en las funciones asíncronas. VM2 es una biblioteca popular que se utiliza para ejecutar código no confiable en un entorno aislado en Node.js.
Referencia
Solución
Se recomienda a los usuarios y administradores de sistemas que actualicen lo antes posible para evitar cualquier riesgo de compromiso de seguridad.
Suscríbete a nuestro boletín de alertas
Enlaces de interés
- CNCS e Idoppril suscriben acuerdo en favor de ciberseguridad nacional
- República Dominicana reúne a líderes de los Equipos de Respuesta ante Incidentes Cibernéticos (CSIRT’s) nacionales de América Latina y el Caribe
- Centro de Ciberseguridad presenta Plataforma de Concientización en Ciberseguridad al Infotep
- CNCS e Idoppril suscriben acuerdo en favor de ciberseguridad nacional
- República Dominicana reúne a líderes de los Equipos de Respuesta ante Incidentes Cibernéticos (CSIRT’s) nacionales de América Latina y el Caribe
- Centro de Ciberseguridad presenta Plataforma de Concientización en Ciberseguridad al Infotep