CVE-2023-29017

CRÍTIC: (9,8)

CVSS3: 8,5

El mòdul vm2 de Node.js podria permetre a un atacant remot executar codi arbitrari al sistema a causa d’un error de desviació al sandbox al control d’objectes amfitrió Error.prepareStackTrace. Mitjançant l’enviament d’una sol·licitud especialment dissenyada, l’atacant podria explotar aquesta vulnerabilitat per executar codi arbitrari al sistema.

Sistemes Afectats

• Node.js vm2 3.9.14

Remediació
Actualitzeu a l’última versió de vm2 (3.9.15 o posterior), disponible al repositori GIT de vm2. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://github.com/patriksimek/vm2/security/advisories/GHSA-7jxr-cg7f-gpgv
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-29017