CVE-2026-49143

Nome do Software Vulnerável e Versões Afetadas BrowserStack Runner versões anteriores a 0.9.6

Descrição Um problema no manipulador HTTP / log permite que atacantes adjacentes à rede e não autenticados executem código arbitrário no sistema host. O manipulador processa corpos de requisição JSON passando dados fornecidos pelo usuário para a função vm.runInNewContext() combinada com eval(). Como o módulo vm não é um mecanismo de segurança, os atacantes podem escapar do sandbox do Node.js aproveitando uma referência de Função de contexto de host através do util.format para acessar o processo host via this.constructor.constructor. Isso permite a execução remota de código total no sistema subjacente. O endpoint / log é particularmente suscetível, pois não exige a autenticação de UUID utilizada por outros manipuladores, como progress e report.

Recomendações Para versões anteriores a 0.9.6, remova o uso de eval() e vm.runInNewContext() no manipulador / log e substitua-os por JSON.stringify() para log seguro. Implemente a autenticação de UUID para o manipulador / log para corresponder ao nível de segurança dos manipuladores progress e report. Configure o servidor HTTP para vincular-se ao 127.0.0.1 em vez de 0.0.0.0 para restringir o acesso à rede. Como mitigação temporária, restrinja o acesso à rede para o endpoint / log.