NocoBase affecté par une évasion de sandbox vers l'exécution de code à distance (RCE) via le parcours de la chaîne de prototypes console._stdout dans le nœud de script de workflow

NocoBase est une plateforme no-code/low-code basée sur l'IA pour la création d'applications métier et de solutions d'entreprise. Avant la version 2.0.28, le nœud de script de workflow de NocoBase exécute du JavaScript fourni par l'utilisateur dans un sandbox vm Node.js avec une liste blanche require personnalisée (contrôlée par la variable d'environnement WORKFLOW_SCRIPT_MODULES). Cependant, l'objet console transmis dans le contexte du sandbox expose des objets de flux WritableWorkerStdio du domaine hôte via console._stdout et console._stderr. Un attaquant authentifié peut parcourir la chaîne de prototypes pour s'échapper du sandbox et parvenir à l'exécution de code à distance (Remote Code Execution) en tant que root. Ce problème a été corrigé dans la version 2.0.28.