vm2沙箱远程代码执行漏洞安全风险通告

vm2是在vm的基础上实现的沙箱，可以使用列入白名单的Node内置模块运行不受信任的代码。

(资料图)

近日，奇安信CERT监测到vm2远程代码执行漏洞(CVE-2023-29017)，由于vm2处理异步错误时未正确处理Error.prepareStackTrace的宿主对象，导致攻击者可以绕过沙箱保护，在运行沙箱的主机上远程执行任意代码。值得注意的是，经测试，在Node.js <= 16.14.0、Node.js <= 17.4.0以及Node.js 16.xx以下的所有版本不受此漏洞影响。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

目前，奇安信CERT已成功复现vm2 远程代码执行漏洞(CVE-2023-29017)，截图如下：

威胁评估

处置建议

目前vm2官方已发布可更新版本，建议受影响用户升级至3.9.15及以上版本。

https://github.com/patriksimek/vm2/releases/tag/3.9.15

产品解决方案

奇安信开源卫士已支持

奇安信开源卫士20230411.230版本已支持对vm2 远程代码执行漏洞(CVE-2023-29017) 的检测。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对vm2 远程代码执行漏洞(CVE-2023-29017)的防护。

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.0411.13812上版本。规则名称：VM2 远程代码执行漏洞(CVE-2023-29017)，规则ID：0x100215BC。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

参考资料

[1]https://github.com/patriksimek/vm2/security/advisories/GHSA-7jxr-cg7f-gpgv

标签：