CVE-2023-30547

CRÍTIC: (9,8)

CVSS3: 8,5

El mòdul vm2 de Node.js podria permetre a un atacant remot executar codi arbitrari al sistema que fora causat per un error de fuita del sandbox a la funció handleException(). Mitjançant l’enviament d’una sol·licitud especialment dissenyada, l’atacant podria explotar aquesta vulnerabilitat per executar codi arbitrari al context del host.

Sistemes Afectats

• Node.js vm2 3.9.16

Remediació
Actualitzeu a l’última versió de vm2 (3.9.17 o posterior), disponible en el repositori GIT de vm2. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://github.com/patriksimek/vm2/security/advisories/GHSA-ch3r-j5x3-6q2m
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-30547