VU#414811: Terrarium содержит уязвимость, позволяющую выполнять произвольный код
Террариум — это платформа, предназначенная для безопасного выполнения кода в изолированной среде. В Террариуме была обнаружена критическая уязвимость, позволяющая выполнять произвольный код с правами root в хост-процессе Node.js. Этот эксплойт связан с проблемой в среде WebAssembly Pyodide.Уязвимость возникает из-за способа настройки объектов jsglobals, в частности, объекта-заглушки документа. Этот объект, созданный из стандартного литерала объекта JavaScript, наследуется от Object.prototype. Это наследование позволяет изолированному коду подняться по цепочке прототипов до конструктора функций. Оттуда злоумышленники могут создать функцию, которая возвращает globalThis, предоставляя доступ к основным внутренним компонентам Node.js, таким как require(). Следовательно, злоумышленник может выйти из песочницы и выполнить любую команду от имени root внутри контейнера.Эта уязвимость побега из песочницы, идентифицированная как CVE-2026-5752, представляет значительный риск для приложений, использующих Террариум. Она позволяет злоумышленникам выполнять команды от имени root, получать доступ и изменять конфиденциальные файлы, компрометировать внутренние сетевые службы и потенциально выходить из контейнера для дальнейшего повышения привилегий. К сожалению, исправление от поставщика в настоящее время недоступно.Для снижения этого риска рекомендуется, если это возможно, отключить отправку кода в песочницу. Сегментация сети и использование межсетевого экрана веб-приложений (WAF) также имеют решающее значение для ограничения поверхности атаки и обнаружения вредоносного трафика. Рекомендуется постоянный мониторинг активности контейнеров на предмет необычного поведения. Кроме того, необходимы строгие меры контроля доступа и использование безопасных инструментов оркестрации контейнеров. Поддержание всех зависимостей в актуальном состоянии и с установленными исправлениями является фундаментальной практикой безопасности. Эта уязвимость была обнаружена Джереми Брауном с использованием исследований с помощью ИИ.