PT-2022-24856 · Unknown · Isolated-Vm
Laverdet
·
Publicado
2022-09-29
·
Atualizado
2023-08-25
·
CVE-2022-39266
CVSS v3.1
9.6
Crítica
| Vetor | AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
isolated-vm versões 4.3.6 e anteriores
Descrição
A vulnerabilidade permite que invasores contornem a sandbox e executem código arbitrário no processo nodejs se dados em cache do v8 não confiáveis forem passados para a API por meio de
CachedDataOptions. Isso pode ser explorado através do envio de cargas maliciosas de cachedData. A versão 4.3.7 atualiza a documentação para alertar os usuários contra a aceitação de cargas de cachedData provenientes de fontes não confiáveis.Recomendações
Para as versões 4.3.6 e anteriores, como solução temporária, considere restringir o uso de
CachedDataOptions para impedir a aceitação de cargas de cachedData não confiáveis até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Protection Mechanism Failure
Improper Authentication
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Isolated-Vm