PT-2022-9410 · Vm2 · Vm2

Abdullah Alhamdan

+1

·

Publicado

2022-02-11

·

Atualizado

2022-02-22

·

CVE-2021-23555

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do vm2 anteriores à 3.9.6
Descrição
A vulnerabilidade permite a evasão da sandbox por meio do acesso direto a objetos de erro do host gerados internamente pelo node durante a geração de rastreamentos de pilha. Isso pode levar à execução de código arbitrário na máquina host.
Recomendações
Para versões anteriores à 3.9.6, atualize para a versão 3.9.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao pacote vm2 até que um patch seja aplicado.

Exploit

Correção

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321

Identificadores relacionados

CVE-2021-23555
GHSA-6PW2-5HJV-9PF7
SNYK-JS-VM2-2309905

Produtos afetados

Vm2