Vulnerabilidad en vm2 (CVE-2023-37466)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
14/07/2023
Última modificación:
05/01/2026
Descripción
vm2 es una máquina virtual/sandbox avanzada para Node.js. La librería contiene problemas de seguridad críticos y no debe usarse para producción. El mantenimiento del proyecto ha sido descontinuado. En vm2 para versiones hasta 3.9.19, la sanitización del controlador `Promise` se puede omitir con la propiedad de acceso `@@species`, lo que permite a los atacantes escapar del entorno limitado y ejecutar código arbitrario, lo que potencialmente permite la ejecución remota de código dentro del contexto del entorno limitado de vm2.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vm2_project:vm2:*:*:*:*:*:node.js:*:* | 3.9.19 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/patriksimek/vm2/commit/d9a1fde8ec5a5a9c9e5a69bf91d703950859d744
- https://github.com/patriksimek/vm2/releases/tag/v3.10.0
- https://github.com/patriksimek/vm2/security/advisories/GHSA-cchq-frgv-rjh5
- https://github.com/patriksimek/vm2/security/advisories/GHSA-cchq-frgv-rjh5
- https://security.netapp.com/advisory/ntap-20241108-0002/