Vulnerabilidad en vm2 (CVE-2022-36067)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/09/2022
Última modificación:
08/11/2022
Descripción
vm2 es un sandbox que puede ejecutar código no confiable con los módulos incorporados de Node en la lista blanca. En versiones anteriores a 3.9.11, un actor de la amenaza puede omitir las protecciones del sandbox para conseguir derechos de ejecución de código remoto en el host que ejecuta el sandbox. Esta vulnerabilidad fue parcheada en el lanzamiento de la versión 3.9.11 de vm2. No se presentan mitigaciones conocidas.<br />
Impacto
Puntuación base 3.x
10.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vm2_project:vm2:*:*:*:*:*:node.js:*:* | 3.9.11 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/patriksimek/vm2/blob/master/lib/setup-sandbox.js#L71
- https://github.com/patriksimek/vm2/commit/d9a7f3cc995d3d861e1380eafb886cb3c5e2b873#diff-b1a515a627d820118e76d0e323fe2f0589ed50a1eacb490f6c3278fe3698f164
- https://github.com/patriksimek/vm2/issues/467
- https://github.com/patriksimek/vm2/security/advisories/GHSA-mrgp-mrhc-5jrq
- https://security.netapp.com/advisory/ntap-20221017-0002/
- https://www.oxeye.io/blog/vm2-sandbreak-vulnerability-cve-2022-36067