发布时间:2023-04-11
来源:圣博润| CVE ID | CVE-2023-29017 | 公开日期 | 2023-04-07 |
| 危害级别 | 高危 | 攻击复杂程度 | 低 |
| POC/EXP | 已公开 | 攻击途径 | 远程网络 |
vm2是nodejs 实现的一个沙箱环境,一般用于测试不受信任的 JavaScript 代码。
vm2版本3.9.15之前,当发生异步错误时,vm2无法正确处理传递给“Error.prepareStackTrace”函数的宿主对象,成功利用该漏洞可绕过沙箱保护,并在运行沙箱的主机上远程执行代码。
vm2版本:<= 3.9.14
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,最新版本下载链接如下:
https://github.com/patriksimek/vm2/releases
https://github.com/patriksimek/vm2/security/advisories/GHSA-7jxr-cg7f-gpgv
https://github.com/patriksimek/vm2/issues/515
https://gist.github.com/seongil-wi/2a44e082001b959bfe304b62121fb76d
地址:北京市海淀区东冉北街9号宝蓝ㆍ金园网络安全服务产业园 A幢B3010室
邮箱:support@sbr-info.com
邮编:100044
技术支持热线:010-8213-8088、400-966-2332
网址:http://www.sbr-info.com/
北京圣博润高新技术股份有限公司
京ICP备07015083号-1
