Patriksimek

**Nome do Software Vulnerável e Versões Afetadas** vm2 versões anteriores a 3.11.0 **Descrição** o vm2 é um vm/sandbox de código aberto para Node.js. O uso de `SuppressedError` permite que invasores escapem do sandbox e executem código arbitrário. **Recomendações** Atualize para a versão 3.11.0.

**Nome do Software Vulnerável e Versões Afetadas** Versões do vm2 anteriores à 3.10.2 **Descrição** O vm2 é uma biblioteca Node.js utilizada para criar ambientes sandbox para executar código não confiável. Existe uma falha em versões anteriores à 3.10.2 na qual a sanitização dos callbacks de `Promise.prototype.then` e `Promise.prototype.catch` pode ser contornada. Especificamente, enquanto a função de callback de `localPromise.prototype.then` é sanitizada, `globalPromise.prototype.then` não é. Como funções assíncronas retornam um objeto `globalPromise`, isso permite que atacantes escapem do sandbox e executem código arbitrário no sistema hospedeiro. A vulnerabilidade pode ser explorada mediante a criação de código JavaScript malicioso que utilize o objeto `globalPromise` não sanitizado para obter acesso aos recursos do sistema hospedeiro, como executar comandos por meio de `child process`. **Recomendações** Atualize para a versão 3.10.2 ou posterior do vm2 para corrigir esta vulnerabilidade.