漏洞预警| vm2 任意代码执行漏洞

最新推荐文章于 2024-08-13 08:19:43 发布
最新推荐文章于 2024-08-13 08:19:43 发布
阅读量869 收藏
点赞数
分类专栏: 漏洞预警 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/128412196
版权

棱镜七彩安全预警

近日网上有关于开源项目 vm2 任意代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

vm2 是一个基于 Node.js 的沙箱环境,可以使用列入白名单的 Node 内置模块运行不受信任的代码。

项目主页

vm2 - npm

代码托管地址

https://github.com/patriksimek/vm2/

CVE编号

CVE-2022-25893

漏洞情况

vm2 是一个基于 Node.js 的沙箱环境,可以使用列入白名单的 Node 内置模块运行不受信任的代码。

vm2 3.9.10之前版本中由于 WeakMap.prototype.set 方法使用原型查找从而存在任意代码执行漏洞,攻击者可利用此漏洞在沙箱内执行任意恶意代码,导致沙箱崩溃或获取主机对象信息。

受影响的版本

vm2@[0.1.0, 3.9.10)

修复方案

升级vm2到 3.9.10 或更高版本

链接地址:

NVD - CVE-2022-25893

https://github.com/patriksimek/vm2/issues/444

https://github.com/patriksimek/vm2/pull/445/commits/3a9876482be487b78a90ac459675da7f83f46d69

棱镜七彩
关注
专栏目录
Vm2沙箱逃逸漏洞复现(CVE-2023-32314)
0xSec
05-19 2614
3.9.17 及以下版本的vm2中存在沙盒逃逸漏洞。它滥用基于代理规范的宿主对象的意外创建,并允许Function在宿主上下文中通过 导致RCE。
NodeJS VM2沙箱逃逸漏洞分析【CVE-2023-29199】
R3s3arcm的博客
09-05 422
Node.js 是一个基于 V8 引擎的开源、跨平台的 JavaScript 运行环境,它可以在多个操作系统上运行,包括 Windows、macOS 和 Linux 等。Node.js 提供了一个运行在服务器端的 JavaScript 环境,使得开发者可以编写并发的、高效的服务器端应用程序。Node.js 使用事件驱动、非阻塞 I/O 模型来支持并发运行。它支持通过插件扩展 API,以及通过 npm(Node.js 包管理器) 安装其他插件和模块。
【严重】vm2 <=3.9.19 远程代码执行漏洞(Promise 绕过)
murphysec的博客
07-24 792
vm2 是一个基于 Node.js 的沙箱环境,Promise 对象用来处理异步代码3.9.19 及之前版本中,Promise 处理程序的过滤机制可以被绕过,攻击者能绕过沙箱在主机上运行任意代码。该组件官方已停止维护,建议开发者更换为 isolated-vm。
vm2 组件存在沙箱逃逸漏洞
OSCS开源安全社区
09-07 1227
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送。点击漏洞详情页右下方【免费使用】,即可快速体验墨菲安全专业的检测能力。提供代码安全检测、许可证合规评估等能力,目前支持 CLI 、IDE插件、GitHub多种检测方式,欢迎使用。受影响版本的 vm2 中,攻击者可以绕过沙箱的保护,在沙箱运行的主机上获得远程代码执行的权限。
VM2 开源项目教程
最新发布
gitblog_00954的博客
08-13 399
VM2 开源项目教程 vm2Advanced vm/sandbox for Node.js项目地址:https://gitcode.com/gh_mirrors/vm/vm2 项目介绍 VM2 是一个用于在 Node.js 中创建沙盒环境的模块。它提供了一种安全执行 JavaScript 代码的方式,可以隔离和限制代码的访问权限,防止恶意代码对系统造成损害。VM2 允许你创建一个虚拟机实例(VM...
速修复!VM2 库中又出现严重的沙箱逃逸漏洞
smellycat000的专栏
04-19 769
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士研究人员发现了另外一个沙箱逃逸漏洞,可被用于在运行 VM2 沙箱上运行的主机上执行安全代码VM2 是大量软件工具使用的特定 JavaScript 沙箱,用于在隔离环境中运行并测试不受信任的代码,阻止代码访问主机的系统资源或外部数据。VM2 库常见于 IDEs、代码编辑器、安全工具和多种渗透测试框架中,在 NPM 包仓库中每个月的下载量达到数...
补环境之vm2检测
liberty888的博客
10-08 909
补环境之vm2检测
vm2
huihui870311的专栏
06-06 791
1.  Vm使用(velocityTools配置) 2.  载入宏 3.  #set(图1) 4.  注释 4.1. 单行注释 4.2. 多行注释 5.  引用 VTL中有三种类型的引用:变量,属性和方法。 有关引用的所有参数都处理为字符串对象。Everything coming to andfrom a reference is treated
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1698
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码
漏洞预警,VMware远程代码执行漏洞的严重等级达到9.8(满分10)
javagty6778的博客
02-04 468
在获得这样的机会后,攻击者可以发起攻击,成功地通过公司网络进行移动,并获得对存储在被攻击系统中的数据(如有关虚拟机和系统用户的信息)的访问权限。来自 Positive Technologies 公司的 Mikhail Klyuchnikov 发现了该漏洞,并私下向 VMware 报告了该漏洞,他将 CVE-2021-21972 与 CVE-2019-19781 的风险进行了比较,而 CVE-2019-19781 是 Citrix 应用程序交付控制器中的一个关键漏洞。未授权的攻击者可以利用该漏洞来入侵设备。
web漏洞之需要准备的工作:信息收集
Miracle_ze的博客
07-24 347
信息收集
vm2:Node.js的高级vmsandbox
02-04
虚拟机2 vm2是一个沙箱,可以与列入白名单的Node的内置模块一起运行不受信任的代码。 放心! 产品特点 与您的代码并排在单个进程中安全地运行不受信任的代码 完全控制沙箱的控制台输出 沙盒对流程方法的访问权限有限 沙盒可能需要模块(内置和外部) 您可以限制对某些(或全部)内置模块的访问 您可以安全地调用方法,并在沙箱之间交换数据和回调 对所有已知的攻击方法都免疫 转运支持 它是如何工作的 它使用内部VM模块创建安全上下文 它使用来防止逃逸沙箱 它覆盖了控制访问模块的内置要求 Node的vm和vm2有什么区别? 自己尝试: const vm = require ( 'vm' ) ;
移动云产品工作记录
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
02-02 2899
背景 记录移动云相关理解和记录 初认识 1、移动云全家桶 2、云主机 云主机是一种按需获取的云端服务器,为您提供高可靠、弹性扩展的计算资源服务,您可以根据需求选择不同规格的CPU、内存、操作系统、硬盘和网络来创建您的云主机。云主机从订购到开通使用仅需数分钟时间。云主机服务可用性达到99.95%,云主机备份数据以多副本形式保存,数据可靠性可达99.9999999%。 规格: vCPU / 内存比为1:1、1:2、1:4、1:8,从“1核2G”到“80核1280G”;采用2.3GHz主频的Intel
预警!VMware ESXi服务器遭大规模勒索攻击,已有数千系统中招!科力锐提供勒索病毒拦截&应急恢复体系化解决方案
weixin_74412513的博客
03-01 792
安全大数据公司Censys对勒索信息进行了检索和披露,显示欧洲和北美已有数千台服务器遭到破坏。奥地利计算机安全应急响应小组在周一也发出警告,称“至少有3762个系统”受到了影响。据悉,意大利、法国、芬兰、美国、加拿大等国均遭到攻击,意大利电信公司出现大规模互联网中断,国内已受影响服务器也有数十台左右。多国网络安全组织机构已对此发出警告!
VM2 VMScript预编译
godop的博客
08-04 4072
简介 vm2是一个沙箱,可以使用列入白名单的Node的内置模块运行不受信任的代码安全! 特征 使用您的代码并排在一个进程中安全地运行不受信任的代码 完全控制沙盒的控制台输出 Sandbox对进程方法的访问权限有限 沙箱可以要求模块(内置和外置) 您可以限制对某些(或所有)内置模块的访问 您可以安全地调用方法并在沙箱之间交换数据和回调 免疫while (true) {}(这点应该是vm2可以设置...
探索VM2:一个强大的JavaScript虚拟机实现
gitblog_00078的博客
03-21 591
探索VM2:一个强大的JavaScript虚拟机实现 vm2Advanced vm/sandbox for Node.js项目地址:https://gitcode.com/gh_mirrors/vm/vm2 是一个由Patrik Šimek开发的开源JavaScript虚拟机库,它允许你在Node.js环境中安全地运行和管理JavaScript代码片段。作为一个高级的技术工具,VM2提供了一种隔...
JSVM2框架介绍
dcggcwqe08896的博客
09-25 420
JSVM2版本今日终于正式发布!http://jsvm.homolo.com下载文档 教程 1.序言... 2.JSVM2 框架介绍... 3.JSVM2 使用说明... 3.1如何在页面上部署jsvm环境。... 3.2如何设置当前jsvm的环境变量。... 3.3如何使用jsvm中的类。... 2.JSVM2 框架介绍 JSVM...
node之vm2库,js沙盒环境
局外人LZ的博客
01-02 3171
vm2 是一个用于在 Node.js 中创建沙盒环境的模块。它提供了一种安全执行 JavaScript 代码的方式,可以隔离和限制代码的访问权限,防止恶意代码对系统造成损害。创建沙盒环境:vm2 允许你创建一个虚拟机实例(VM),在该实例中运行 JavaScript 代码。这个虚拟机实例是一个隔离的环境,与主 Node.js 进程相互独立,可以在其中执行代码。限制访问权限:vm2 允许你限制代码对系统资源的访问权限。你可以控制代码能否访问全局对象、模块、文件系统和网络等资源,从而提供更高的安全性。
Struts2安全预警:四大漏洞详解,包括远程代码执行风险
本文主要讨论了Apache Struts2框架中的四个关键安全漏洞,这些漏洞涉及到远程代码执行,其中两个已经得到了广泛的关注。首先,我们关注的是在Struts 版本中的ExceptionDelegator漏洞,这个漏洞由于之前在我的博客中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值