Kritiska sårbarheter i Javascriptbiblioteket vm2

Den 6 april publicerades en varning avseende Javascript-biblioteket “vm2”. [1] Biblioteket används av ett flertal mjukvaror för att köra kod i virtuella miljöer och för att köra kod isolerat från operativsystemet på Node.js-servrar. En angripare kan utnyttja sårbarheten för att köra godtycklig kod på servern utanför den isolerade miljön. För att sårbarheten ska kunna utnyttjas behöver vm2 användas för att köra Javascript-kod. [2]

Sårbarheten har fått beteckningarna CVE-2023-29017 och ses som kritisk, med CVSS-klassningen 9,8. Kod för att utnyttja sårbarheten är testad på version 18.15.0, 19.8.1 och 17.9.1 av Node.js. [1,2]

Exempelkod för att utnyttja sårbarheten finns offentligt tillgänglig. [2]

Påverkade produkter

Följande produkter är sårbara: [1] vm2, version 3.9.14 och tidigareNode.js, version 18.15.0, 19.8.1, samt 17.9.1

Rekommendationer

CERT-SE rekommenderar att uppdatera vm2 til version 3.9.15 eller högre så snart som möjligt. CERT-SE rekommenderar vidare att uppdatera alla produkter som använder sårbara versioner av vm2 så snart sådana uppdateringar blir tillgängliga.

Källor

[1] https://github.com/patriksimek/vm2/security/advisories/GHSA-7jxr-cg7f-gpgv

[2] https://www.bleepingcomputer.com/news/security/exploit-available-for-critical-bug-in-vm2-javascript-sandbox-library/