发布日期：2023-04-06
更新日期：2023-04-25

受影响系统：

Patrik Simek vm2 <= 3.9.14

描述：

---

CVE(CAN) ID: CVE-2023-29017

vm2是捷克Patrik Simek个人开发者的一个Node.js的高级虚拟机/沙盒，以使用列入白名单的 Node内置模块运行不受信任的代码。
vm2 3.9.14及之前版本存在远程代码执行漏洞，该漏洞源于在出现未处理的异步错误时，vm2没有正确处理传递的主机对象，攻击者可利用该漏洞绕过沙箱保护并远程执行代码。

<*来源：patriksimek
  
  链接：https://github.com/patriksimek/vm2/security/advisories/GHSA-7jxr-cg7f-gpgv
*>

建议：

---

厂商补丁：

Patrik Simek
------------
Patrik Simek已经为此发布了一个安全公告（CVE-2023-29017）以及相应补丁:
CVE-2023-29017：Sandbox Escape
链接：https://github.com/patriksimek/vm2/security/advisories/GHSA-7jxr-cg7f-gpgv

浏览次数：396
严重程度：0（网友投票）