CVE-2021-23334

Versões do static-eval anteriores à versão corrigida

O problema está relacionado ao gerenciamento incorreto da geração de código nas funções FunctionExpressions e TemplateLiterals do pacote static-eval. Isso pode permitir que um invasor remoto execute código arbitrário. A exploração envolve o uso da função evaluate do pacote static-eval e da função parse do pacote esprima para executar código malicioso. Por exemplo, um invasor pode usar a função eval para executar comandos do sistema, como console.log(global.process.mainModule.constructor. load(‘child process’).execSync(‘ls’).toString()). No entanto, vale a pena observar que essa questão foi posteriormente considerada não ser uma vulnerabilidade, conforme discutido na questão relacionada no GitHub.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.