ГлавнаяБаза уязвимостей БДУ → BDU:2023-02119
10критическая

BDU:2023-02119

Уязвимость преобразователя исходного кода библиотеки vm2 пакетного менеджера NPM, позволяющая нарушителю выйти из изолированной программной среды и выполнить произвольный код
Опубликовано: 2023-04-19
Описание

Уязвимость преобразователя исходного кода библиотеки vm2 пакетного менеджера NPM связана с недостаточным контролем ресурсов с динамическим управлением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выйти из изолированной программной среды и выполнить произвольный код

Затрагиваемое ПО и версии
vm2 (до 3.9.15 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование антивирусного обеспечения для обнаружения средств эксплуатации уязвимости;
- использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций производителя:
https://github.com/patriksimek/vm2/releases/tag/3.9.16

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/patriksimek/vm2/security/advisories/GHSA-xj72-wvfv-8985https://github.com/patriksimek/vm2/commit/24c724daa7c09f003e556d7cd1c7a8381cb985d7https://gist.github.com/leesh3288/f05730165799bf56d70391f3d9ea187chttps://github.com/patriksimek/vm2/releases/tag/3.9.16https://github.com/patriksimek/vm2/issues/516
Проверьте безопасность своего сайта и почты → Полная проверка домена