CVE-2023-37466

Nome do Software Vulnerável e Versões Afetadas vm2 versões anteriores a 3.10.0

Descrição o vm2 é um sandbox avançado para Node.js. Uma falha na sanitização do manipulador Promise permite que a propriedade de acesso @@species seja ignorada. Isso permite que invasores que já possuam primitivas de execução de código arbitrário dentro do contexto do sandbox escapem do ambiente isolado e executem código arbitrário no sistema host, potencialmente levando à execução remota de código. A manutenção do projeto foi descontinuada e a biblioteca não é recomendada para uso em produção.

Recomendações Atualize para a versão 3.10.0.