Nodejs vm2 沙箱模块的安全漏洞警告

关键要点

Oxeye 公司发现了名为“Sandbreak”的安全漏洞CVE202236067。此漏洞可能允许远程命令执行，影响 vm2 沙箱模块。用户需立即更新软件以修复漏洞，修复更新于2023年8月28日发布。沙箱在现代应用中的多个场景中起到至关重要的保护作用。

根据 The Hacker News 的报告，威胁行为者可能会利用已修复的关键安全漏洞，攻击广泛使用的 Nodejs 库 vm2 沙箱模块以促成远程命令执行。该漏洞由应用安全公司 Oxeye 发现，被称为“Sandbreak”，其追踪编号为 CVE202236067。研究人员指出，漏洞源于 Nodejs 在沙箱逃逸时的错误机制。这种安全缺陷可能允许攻击者绕过 vm2 沙箱环境，从而在托管沙箱的系统中执行 shell 命令。

受关键远程代码执行漏洞影响的热门 Node 库媒体

vm2 的用户被敦促立即应用当前更新，以修复这一漏洞，该更新于2023年8月28日发布。Oxeye 表示：“沙箱在现代应用中有着不同的用途，例如在邮件服务器中检查附加文件，为网页浏览器提供额外的安全层，或在某些操作系统中隔离正在运行的应用程序。鉴于沙箱用例的性质，很明显如果未进行修补，vm2 的漏洞将对使用 vm2 的应用程序产生严重后果。”

重要提示：确保及时更新到最新版本以保障您的系统安全。

蚂蚁海外加速器漏洞名称CVE漏洞描述影响库修复发布日期SandbreakCVE202236067允许远程命令执行vm22023年8月28日

此漏洞显示了沙箱技术在保护应用程序中的重要性，开发者和用户必须保持警惕，确保他们的应用程序和相关依赖库始终保持最新。