Versões do localeval (versões afetadas não especificadas)

A vulnerabilidade permite a fuga da sandbox, levando à execução remota de código, devido à falha do pacote em restringir o acesso ao contexto principal por meio de constructor.constructor. Isso poderia permitir que invasores executassem código arbitrário no sistema. A avaliação de uma carga útil específica, como constructor.constructor(“return process.env”)(), pode retornar o conteúdo de process.env.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.