ふたたび「vm2」に深刻な脆弱性 - 4月に入り3度目のアップデート

サンドボックス環境を提供するNode.jsライブラリ「vm2」にふたたび深刻な脆弱性が明らかとなった。4月に入り、3度目のアップデートとなる。

例外処理に問題があり、サンドボックスを回避してホスト上で任意のコードを実行されるおそれがある脆弱性「CVE-2023-30547」が明らかとなったもの。共通脆弱性評価システム「CVSSv3.1」において、ベーススコアは「9.8」、重要度は「クリティカル（Critical）」と評価されている。

4月以降、同じく「クリティカル（Critical）」とされる脆弱性「CVE-2023-29017」「CVE-2023-29199」が相次いで判明し、アップデートがリリースされたが、異なる脆弱性のため注意が必要。

開発者は、4月17日に今月3度目となる「同3.9.17」をリリースし、「CVE-2023-30547」を解消した。脆弱性に関しては実証コード（PoC）も公開されている。

（Security NEXT - 2023/04/26 ） ツイート

PR

関連記事

5月下旬に修正されたZyxel製品の脆弱性、早くも攻撃の標的に
顧客情報含むリストを誤送信、同姓の別人に - ニッカトー
世論調査対象者の個人情報を紛失 - NHK
フィッシング対策GLを改訂 - 要件から「EV証明書」の記載削除
「じゃらん」を装うフィッシング - 「旅行支援金」口実に誘導
「MOVEit Transfer」の脆弱性、脅迫グループが悪用か
チーム向けパスワード管理ツール「TeamPass」に脆弱性
「MOVEit Transfer」にゼロデイ脆弱性 - 侵害状況も確認を
福島原発事故の追加賠償に関する請求書を誤送付 - 東電
講座受講者宛のメールで「CC」送信 - 八代市