VU#414811:Terrarium 中存在一个漏洞,允许... 笔记

VU#414811:Terrarium 中存在一个漏洞,允许执行任意代码。

Terrarium 是一个专为沙箱环境中安全执行代码而设计的平台。研究人员在 Terrarium 中发现了一个关键漏洞,该漏洞允许攻击者以 root 权限在宿主的 Node.js 进程中执行任意代码。此漏洞源于 Pyodide WebAssembly 环境中的一个问题。该漏洞的根源在于 jsglobals 对象的配置方式,特别是模拟的文档对象(mock document object)。该对象由标准的 JavaScript 对象字面量创建,并继承自 Object.prototype。这种继承机制使得沙箱内的代码能够沿原型链向上访问到 Function 构造函数。由此,攻击者可以创建一个返回 globalThis 的函数,从而获取对 Node.js 核心内部模块(如 require())的访问权限。最终,攻击者能够突破沙箱限制,在容器内以 root 权限执行任意命令。此沙箱逃逸漏洞已被标识为 CVE-2026-5752,对依赖 Terrarium 的应用程序构成重大风险。攻击者可借此以 root 权限执行命令、访问和篡改敏感文件、破坏内部网络服务,甚至可能逃逸容器以进一步提权。遗憾的是,目前厂商尚未发布修复补丁。为缓解此风险,如可行,建议禁用向沙箱提交代码的功能。实施网络分段并部署 Web 应用防火墙(WAF)也至关重要,以缩小攻击面并检测恶意流量。同时,应持续监控容器活动,识别异常行为。此外,实施严格的访问控制并使用安全的容器编排工具必不可少。保持所有依赖项及时更新和打补丁是基本的安全实践。该漏洞由 Jeremy Brown 通过 AI 辅助研究发现。