Versões do pitboss-ng (versões afetadas não especificadas)

A vulnerabilidade permite a fuga da sandbox, levando à execução remota de código. O problema surge porque o pacote não restringe o acesso ao contexto principal por meio de this.constructor.constructor. Isso poderia permitir que invasores executassem código arbitrário no sistema. Por exemplo, a avaliação da carga útil this.constructor.constructor(‘return process.env’)() pode imprimir o conteúdo de process.env.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.