Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「vm2」に複数の脆弱性 - アップデートにて修正

サンドボックス環境を提供するNode.jsライブラリ「vm2」にサンドボックスを回避され、コードの実行が可能となる脆弱性が明らかとなった。アップデートが提供されている。

プロクシの仕様により予期しないホストオブジェクトを作成し、サンドボックスをバイパスしてホスト上でリモートよりコードの実行が可能となる脆弱性「CVE-2023-32314」が判明したもの。

GitHubにおいて共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」と評価されている。オプションの編集が可能となる「CVE-2023-32313」もあわせて明らかとなった。CVSS基本値が「5.3」、重要度が「中(Moderate)」。

いずれもGMOサイバーセキュリティbyイエラエの金子孟司氏が報告した。開発者は5月15日にリリースした「同3.9.18」にてこれら脆弱性を修正している。

同脆弱性に関しては概念実証(PoC)も公開されている。「vm2」に関しては今回判明した「CVE-2023-32314」以外にも、4月以降、重要度が「クリティカル(Critical)」とされる脆弱性「CVE-2023-29017」「CVE-2023-29199」「CVE-2023-30547」が修正されている。

(Security NEXT - 2023/05/16 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

案内メールに顧客リストを誤添付して送信 - 写真販売サービス会社
高校教諭がサポート詐欺被害、私用PC内に個人情報 - 広島県
Arubaのアクセス制御製品に複数脆弱性 - アップデートで修正
「WordPress」向けメンバー管理プラグインにSQLi脆弱性
生活保護受給者関連の書類が強風で飛散して紛失 - 墨田区
先週の注目記事(2024年2月25日〜2024年3月2日)
eモータースポーツ大会の複数SNS公式アカウントが乗っ取り被害
「WP eCommerce plugin」に深刻な脆弱性 - パッチは未提供
「Microsoft Edge」にセキュリティアップデート - 脆弱性3件を修正
「Microsoft Streaming Service」の脆弱性に対する攻撃に注意