SK-CERT Bezpečnostné varovanie V20221011-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
10.0
Identifikátor
vm2 Node.js sandbox – kritická bezpečnostná zraniteľnosť
Popis
Vývojári JavaScriptovej sandboxovej knižnice vm2 Node.js sandbox vydali bezpečnostnú aktualizáciu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť.
Kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi uniknúť zo sandboxového prostredia a následne vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Dátum prvého zverejnenia varovania
10.10.2022
CVE
CVE-2022-36067
IOC
Zasiahnuté systémy
vm2 vo verzii staršej ako 3.9.11
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Administrátorom a používateľom odporúčame bezodkladne nainštalovať bezpečnostné aktualizácie.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://github.com/patriksimek/vm2/security/advisories/GHSA-mrgp-mrhc-5jrq
https://www.securityweek.com/critical-remote-code-execution-vulnerability-found-vm2-sandbox-library

« Späť na zoznam