Vulnerabilidad crítica en librería Sandbox Vm2
AS-082-2022
Fecha: 20/Oct/2022
Resumen:
Los investigadores de seguridad de Oxeye descubrieron CVE-2022-36067, un defecto de gravedad crítica en vm2 evaluado con una puntuación CVSS de 10 y que debería alertar a todos los usuarios de vm2, debido a su posible impacto generalizado.
La causa raíz de la vulnerabilidad, que los investigadores de Oxeye llamaron SandBreak, reside en la forma en que los mantenedores de vm2 implementaron una característica de Node.js que les permite personalizar la pila de llamadas de errores en el marco de pruebas de software.
Imagen 1: Versión actualizada de vm2
Recomendación:
La vulnerabilidad SandBreak se solucionó con el lanzamiento de la versión 3.9.11 de vm2.
Referencias:
https://www.securityweek.com/critical-remote-code-execution-vulnerability-found-vm2-sandbox-library