WASM-Programm umgeht die node:wasi-Dateisystem-Sandbox
Dieses Projekt demonstriert einen Proof-of-Concept, der zeigt, wie ein WASM-Programm die Einschränkung des preopens-Verzeichnisses in node:wasi umgehen kann, um auf Dateien außerhalb der Sandbox zuzugreifen. Normalerweise ist der Zugriff von WASM-Programmen auf vorab geöffnete Verzeichnisse beschränkt. Durch geschickte Verwendung von symbolischen Links zum Ersetzen von Dateien zu einem genauen Zeitpunkt und die Ausführung eines externen Prozesses kann diese Einschränkung jedoch umgangen werden. Dies ist keine praktische Sicherheitslücke in node:wasi, sondern eher ein potenzieller Grenzfall. Das Projekt hebt hervor, dass man sich nicht darauf verlassen sollte, dass node:wasi bösartigen Code vollständig daran hindert, auf externe Dateien zuzugreifen.