CVE-2021-21413

Versões do isolated-vm anteriores à 4.0.0

A biblioteca isolated-vm para Node.js apresenta falhas na API que podem expor isolados supostamente seguros às permissões do isolado principal do Node.js. Objetos Reference permitem acesso à cadeia de protótipos completa da referência subjacente, possibilitando que invasores obtenham uma Reference para o objeto Function do contexto do Node.js. Ataques semelhantes poderiam ocorrer através da modificação do protótipo local de outros objetos da API. O acesso a objetos NativeModule poderia permitir que um invasor carregasse e executasse código nativo de qualquer local do sistema de arquivos, levando potencialmente à execução de código arbitrário se combinado com uma API de upload de arquivos.

Para versões anteriores à 4.0.0, atualize para a versão 4.0.0 ou posterior, que inclui alterações como documentação atualizada, instâncias Reference modificadas para não seguirem cadeias de protótipos por padrão, protótipos de API isolated-vm imutáveis e restrições à invocação do construtor NativeModule.