Gereksinimler karşılanırsa saldırganlar VM2 sanal alanından bir Node.js örneğine geçebilir ve kötü amaçlı kod çalıştırabilir. Kavram kanıtı istismarı herkese açık, ancak şu ana kadar saldırganların bu güvenlik açığından zaten yararlandığına dair bir rapor yok. Geliştiriciler şimdi bir güvenlik güncellemesi yayınladı.
Duyurudan sonra devamını okuyun
Güvenlik açığı ayrıntıları
GitHub'daki bir uyarı, güvenlik açığının (CVE-2026-26956) “tehdit düzeyine” sahip olduğunu gösteriyoreleştirmen” gizlidir. Geliştiriciler yalnızca Node.js 25'in tehdit altında olduğunu garanti eder. Güvenlik açığını v25.6.1'de başarıyla yeniden oluşturduklarını iddia ederler. vm2'nin 3.10.4 sürümü özellikle güvenlik açığına sahiptir. Güvenlik açığı şurada bulundu: Sürüm 3.10.5 Kapalı. Ancak örnekler yalnızca WebAssembly istisna yönetimi ve JSTag desteği etkinse saldırıya açıktır.
Bu durumda saldırganlar hazırlanmış isteklerle hataları tetikleyebilir ve böylece VM2 güvenlik filtrelerini atlayabilir. Daha sonra kodlarını ana sistemde çalıştırabilirler. Sınıflandırmaya dayanarak sistemlerin daha sonra tamamen ele geçirildiği varsayılabilir. Geliştiriciler, uyarı mesajında kusur ve olası bir saldırı dizisi hakkında daha fazla ayrıntı sağlıyor.
(des)
Bir yanıt yazın