CVE-2022-36067

Versões do vm2 anteriores à 3.9.11

O problema está relacionado ao controle insuficiente de recursos na gestão dinâmica da biblioteca vm2, permitindo que um invasor remoto execute código arbitrário ao contornar as proteções da sandbox. A vulnerabilidade afeta a sandbox do vm2, que pode executar código não confiável com módulos integrados do Node incluídos na lista de permissões. Estima-se que mais de 500 instâncias do Backstage, um popular portal para desenvolvedores, estejam vulneráveis a esse problema, sendo que muitas delas são acessíveis sem autenticação devido às configurações padrão de implantação. A vulnerabilidade foi corrigida na versão 3.9.11 do vm2.

Para versões anteriores à 3.9.11, atualize para a versão 3.9.11 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso da sandbox vm2 até que uma correção seja aplicada. Restrinja o acesso ao módulo vm2 para minimizar o risco de exploração. Evite usar a sandbox vm2 para executar código não confiável até que o problema seja resolvido.