关于Vm2沙箱逃逸漏洞(CVE-2023-30547)的预警提示

发布时间:2023-05-11浏览次数:78

一、漏洞详情

vm2nodejs实现的一个沙箱环境,一般用于测试不受信任的JavaScript代码。

近日,监测到vm2沙箱逃逸漏洞(CVE-2023-30547)。在vm2的源代码转换器异常清理逻辑中存在沙箱逃逸漏洞,攻击者可绕过handleException()并泄漏未清理的主机异常,进而逃逸沙箱实现任意代码执行。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Vm2 <= 3.9.16

三、修复建议

目前官方已发布安全更新,受影响用户可以更新到Vm2 3.9.17及以上版本。