一、漏洞详情
vm2是nodejs实现的一个沙箱环境,一般用于测试不受信任的JavaScript代码。
近日,监测到vm2沙箱逃逸漏洞(CVE-2023-30547)。在vm2的源代码转换器异常清理逻辑中存在沙箱逃逸漏洞,攻击者可绕过handleException()并泄漏未清理的主机异常,进而逃逸沙箱实现任意代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Vm2 <= 3.9.16
三、修复建议
目前官方已发布安全更新,受影响用户可以更新到Vm2 3.9.17及以上版本。