Versões do lighter-vm (versões afetadas não especificadas)

A vulnerabilidade permite a fuga da sandbox, levando à execução remota de código. Ela é causada por uma falha na restrição do acesso ao contexto principal por meio de this.constructor.constructor. Isso poderia permitir que invasores executassem código arbitrário no sistema. Por exemplo, a avaliação da carga útil this.constructor.constructor(‘return process.env’)() pode exibir o conteúdo de process.env.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.