棱镜七彩安全预警

近日网上有关于开源项目 vm2 任意代码执行漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

vm2 是一个基于 Node.js 的沙箱环境，可以使用列入白名单的 Node 内置模块运行不受信任的代码。

项目主页

vm2 - npm

代码托管地址

https://github.com/patriksimek/vm2/

CVE编号

CVE-2022-25893

漏洞情况

vm2 是一个基于 Node.js 的沙箱环境，可以使用列入白名单的 Node 内置模块运行不受信任的代码。

vm2 3.9.10之前版本中由于 WeakMap.prototype.set 方法使用原型查找从而存在任意代码执行漏洞，攻击者可利用此漏洞在沙箱内执行任意恶意代码，导致沙箱崩溃或获取主机对象信息。

受影响的版本

vm2@[0.1.0, 3.9.10)

修复方案

升级vm2到 3.9.10 或更高版本

链接地址：

NVD - CVE-2022-25893

https://github.com/patriksimek/vm2/issues/444

https://github.com/patriksimek/vm2/pull/445/commits/3a9876482be487b78a90ac459675da7f83f46d69