漏洞标题
vm2沙箱逃逸漏洞
漏洞描述信息
vm2沙箱逃逸漏洞
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
vm2 Sandbox escape vulnerability
漏洞描述信息
There exists a vulnerability in source code transformer (exception sanitization logic) of vm2 for versions up to 3.9.15, allowing attackers to bypass `handleException()` and leak unsanitized host exceptions which can be used to escape the sandbox and run arbitrary code in host context. A threat actor can bypass the sandbox protections to gain remote code execution rights on the host running the sandbox. This vulnerability was patched in the release of version `3.9.16` of `vm2`.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
动态管理代码资源的控制不恰当
漏洞标题
vm2 安全漏洞
漏洞描述信息
vm2是捷克Patrik Simek个人开发者的一个 Node.js 的高级虚拟机/沙盒。以使用列入白名单的 Node 内置模块运行不受信任的代码。 vm2 3.9.15版本及之前版本存在安全漏洞。攻击者利用该漏洞绕过handleException()并泄漏未清理的主机异常,在其中主机环境中执行任意代码。
CVSS信息
N/A
漏洞类别
其他