Vulnerabilidad crítica en librería Sandbox Vm2

AS-082-2022

Fecha: 20/Oct/2022

Resumen:

Los investigadores de seguridad de Oxeye descubrieron  CVE-2022-36067, un defecto de gravedad crítica en vm2 evaluado con una puntuación CVSS de 10 y que debería alertar a todos los usuarios de vm2, debido a su posible impacto generalizado.

La causa raíz de la vulnerabilidad, que los investigadores de Oxeye llamaron SandBreak, reside en la forma en que los mantenedores de vm2 implementaron una característica de Node.js que les permite personalizar la pila de llamadas de errores en el marco de pruebas de software.
 

Imagen 1: Versión actualizada de vm2

Recomendación:

La  vulnerabilidad SandBreak se solucionó  con el lanzamiento de la versión 3.9.11 de vm2.

Referencias:

https://www.securityweek.com/critical-remote-code-execution-vulnerability-found-vm2-sandbox-library

https://github.com/advisories/GHSA-mrgp-mrhc-5jrq