Abdullah Alhamdan

**Nome do software vulnerável e versões afetadas** querymen (versões afetadas não especificadas) **Descrição** O problema decorre da função `handler(type, name, fn)`, na qual os parâmetros podem ser controlados pelos usuários sem a devida sanitização, levando à contaminação de protótipos. Isso é resultado de uma correção incompleta de um problema anterior. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do `jailed` (versões afetadas não especificadas) **Descrição** O problema diz respeito a uma falha de segurança que permite contornar a sandbox (sandbox bypass) e que pode ser explorada por meio de um método `alert()` exportado. Esse método pode acessar o aplicativo principal, representando um risco. Os métodos exportados estão armazenados no objeto `application.remote`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** todas as versões do notevil todas as versões do argencoders-notevil **Descrição** O problema está relacionado a uma fuga da sandbox (Sandbox Escape) que leva à contaminação de protótipos (Prototype pollution). O pacote não consegue restringir o acesso ao contexto principal, permitindo que um invasor adicione ou modifique o protótipo de um objeto. Essa vulnerabilidade decorre de uma correção incompleta. O pacote notevil e sua variante argencoders-notevil foram afetados, sendo que esta última está obsoleta. **Recomendações** Para todas as versões do notevil, considere restringir o acesso ao contexto principal para evitar a contaminação de protótipos. Para todas as versões do argencoders-notevil, como o pacote está obsoleto, recomenda-se evitar seu uso e considerar soluções alternativas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do vm2 anteriores à 3.9.6 **Descrição** A vulnerabilidade permite a evasão da sandbox por meio do acesso direto a objetos de erro do host gerados internamente pelo node durante a geração de rastreamentos de pilha. Isso pode levar à execução de código arbitrário na máquina host. **Recomendações** Para versões anteriores à 3.9.6, atualize para a versão 3.9.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao pacote `vm2` até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do putil-merge anteriores à 3.8.0 **Descrição** O problema decorre do fato de a função `merge()` não verificar os valores passados em seus argumentos, permitindo que um invasor forneça um valor malicioso ajustando-o para incluir a propriedade `constructor`. Essa vulnerabilidade é resultado de uma correção incompleta. **Recomendações** Para versões anteriores à 3.8.0, atualize para a versão 3.8.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `merge()` até que um patch esteja disponível. Restrinja o acesso à função `merge()` para minimizar o risco de exploração. Evite usar a propriedade `constructor` na função afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do realms-shim (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma violação da sandbox por meio de um vetor de ataque de contaminação de protótipos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** realms-shim (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma violação da sandbox por meio de um vetor de ataque de contaminação de protótipos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do vm2 anteriores à 3.9.4 **Descrição** O problema está relacionado a um vetor de ataque do tipo “Prototype Pollution”, que pode levar à fuga da sandbox e à execução de código arbitrário na máquina host. Isso permite a execução de código arbitrário na máquina host, representando um risco significativo à segurança. **Recomendações** Para versões anteriores à 3.9.4, atualize para a versão 3.9.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do pacote vm2 até que um patch seja aplicado.