CVE-2024-34347

Versões do @hoppscotch/cli anteriores à 0.8.0

O @hoppscotch/cli é uma interface de linha de comando (CLI) para executar scripts de teste do Hoppscotch em ambientes de integração contínua (CI). Antes da versão 0.8.0, o pacote @hoppscotch/js-sandbox fornece uma sandbox de Javascript que utiliza o módulo vm do Node.js. No entanto, o módulo vm não é seguro para isolar código Javascript não confiável, pois o código dentro do contexto vm pode escapar se conseguir obter qualquer referência a um objeto criado fora do vm. No caso do @hoppscotch/js-sandbox, várias referências a objetos externos são passadas para o contexto vm para permitir que scripts pré-solicitação interajam com variáveis de ambiente e outros elementos. Mas isso também permite que o script pré-solicitação escape da sandbox.

Para versões anteriores à 0.8.0, atualize para a versão 0.8.0 ou posterior para corrigir o problema. Como solução temporária, considere restringir o uso do pacote @hoppscotch/js-sandbox até que um patch seja aplicado. Evite passar referências a objetos externos para o contexto da VM para minimizar o risco de exploração.