vm2 — это расширенная виртуальная машина/песочница для Node.js. Библиотека содержит критические проблемы безопасности, и ее не следует использовать в производственных целях. Техническое обслуживание проекта прекращено.
В vm2 для версий до 3.9.19 очистку обработчика Promise можно обойти с помощью свойства доступа @@species, позволяющего злоумышленникам выйти из песочницы и запустить произвольный код, что потенциально позволяет удаленное выполнение кода внутри контекста песочницы vm2. Версия 3.10.0 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
vm2 is an advanced vm/sandbox for Node.js. The library contains critical security issues and should not be used for production. The maintenance of the project has been discontinued. In vm2 for versions up to 3.9.19, `Promise` handler sanitization can be bypassed with the `@@species` accessor property allowing attackers to escape the sandbox and run arbitrary code, potentially allowing remote code execution inside the context of vm2 sandbox. Version 3.10.0 contains a patch for the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Vm2_Project Vm2
cpe:2.3:a:vm2_project:vm2:*:*:*:*:*:node.js:*:*
|
— |
<= 3.9.19
|