Sistemas Afectados
La vulnerabilidad afecta a todas las versiones del módulo VM2 anteriores a la 3.9.14 e incluyendo esta última.
Descripción
El módulo de sandbox de JavaScript “VM2” ha publicado un parche para solucionar una vulnerabilidad crítica que permitiría a un atacante saltarse las restricciones de seguridad y ejecutar shellcode arbitrario en el host objetivo. La vulnerabilidad fue reportada el 6 de abril de 2023 por investigadores del KAIST WSP Lab de Corea del Sur y afecta a todas las versiones, incluyendo y anteriores a la versión 3.9.14.
La vulnerabilidad, identificada como CVE-2023-29017, tiene una puntuación de 9.8 en el sistema de puntuación CVSS. El problema radica en el hecho de que no maneja adecuadamente los errores que ocurren en las funciones asíncronas. VM2 es una biblioteca popular que se utiliza para ejecutar código no confiable en un entorno aislado en Node.js.
Referencia
Solución
Se recomienda a los usuarios y administradores de sistemas que actualicen lo antes posible para evitar cualquier riesgo de compromiso de seguridad.
Suscríbete a nuestro boletín de alertas
Enlaces de interés
- Centro Nacional de Ciberseguridad exhorta a usuarios de WhatsApp utilizar la verificación en dos pasos para mantener control de sus cuentas
- ProDominicana y el Centro Nacional de Ciberseguridad se unen para mejorar seguridad digital del país
- Viceministro Montilla destaca la ciberseguridad es prioridad estratégica para el Gobierno
- Centro Nacional de Ciberseguridad exhorta a usuarios de WhatsApp utilizar la verificación en dos pasos para mantener control de sus cuentas
- ProDominicana y el Centro Nacional de Ciberseguridad se unen para mejorar seguridad digital del país
- Viceministro Montilla destaca la ciberseguridad es prioridad estratégica para el Gobierno