PT-2020-21377 · Zhaoyao91 · @Zhaoyao91/Eval-In-Vm
Publicado
2020-09-04
·
Atualizado
2020-09-04
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
@zhaoyao91/eval-in-vm (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite a fuga da sandbox, levando à execução remota de código. O pacote não consegue restringir o acesso ao contexto principal por meio de
this.constructor.constructor. Isso pode permitir que invasores executem código arbitrário no sistema. A avaliação da carga útil this.constructor.constructor(‘return process.env’)() pode exibir o conteúdo de process.env.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
@Zhaoyao91/Eval-In-Vm