ГлавнаяБаза уязвимостей БДУ → BDU:2023-02202
10критическая

BDU:2023-02202 (CVE-2023-30547)

Уязвимость функции handleException() библиотеки vm2 пакетного менеджера NPM, существующая из-за непринятия мер по нейтрализации специальных элементов, позволяющая нарушителю выйти из изолированной программной среды и выполнить произвольный код
Опубликовано: 2023-04-24
Описание

Уязвимость функции handleException() библиотеки vm2 пакетного менеджера NPM существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выйти из изолированной программной среды и выполнить произвольный код

Затрагиваемое ПО и версии
vm2 (до 3.9.16 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование антивирусного обеспечения для обнаружения средств эксплуатации уязвимости;
- использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций производителя:
https://github.com/patriksimek/vm2/commit/4b22e87b102d97d45d112a0931dba1aef7eea049
https://github.com/patriksimek/vm2/commit/f3db4dee4d76b19869df05ba7880d638a880edd5

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://gist.github.com/leesh3288/381b230b04936dd4d74aaf90cc8bb244https://github.com/patriksimek/vm2/security/advisories/GHSA-ch3r-j5x3-6q2mhttps://nvd.nist.gov/vuln/detail/CVE-2023-30547https://github.com/patriksimek/vm2/commit/4b22e87b102d97d45d112a0931dba1aef7eea049https://github.com/patriksimek/vm2/commit/f3db4dee4d76b19869df05ba7880d638a880edd5
Проверьте безопасность своего сайта и почты → Полная проверка домена