Enclave — это безопасная песочница JavaScript, предназначенная для безопасного выполнения кода агента ИИ. До версии 2.11.1 можно было обойти границы безопасности, установленные `@enclave-vm/core`, которые можно использовать для удаленного выполнения кода (RCE). Проблема исправлена в версии 2.11.1.
Показать оригинальное описание (EN)
Enclave is a secure JavaScript sandbox designed for safe AI agent code execution. Prior to version 2.11.1, it is possible to escape the security boundraries set by `@enclave-vm/core`, which can be used to achieve remote code execution (RCE). The issue has been fixed in version 2.11.1.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1