PT-2022-17590 · Vm2 · Vm2
Ghaem Arasteh
+1
·
Publicado
2022-12-21
·
Atualizado
2023-01-03
·
CVE-2022-25893
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do vm2 anteriores à 3.9.10
Descrição
O problema está relacionado à execução arbitrária de código devido ao uso da pesquisa de protótipos para o método
WeakMap.prototype.set. Isso permite o acesso a um objeto anfitrião e pode levar ao comprometimento da sandbox.Recomendações
Para versões anteriores à 3.9.10, atualize para a versão 3.9.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do método
WeakMap.prototype.set até que um patch seja aplicado.Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vm2