11.04.2023 12:05
RCE-Bug in VM2 JavaScript Sandbox Library - jetzt patchen
Es wurde ein Security Advisory für VM2 veröffentlicht, das einen Bug mit CVSS-Score 9.8 (andere Quellen nennen überhaupt CVSS 10.0) beschreibt, der Remote Code Exeution ermöglicht. Da diese Library offenbar in vielen node.js Projekten verwendet wird, können wir nur empfehlen auf die zur Verfügung stehende Version 3.9.15 upzugraden.
Wo VM2 nicht direkt in eigenen Projekten verwendet wird, schadet ein kurzes Durchsehen des Software-Inventars und Check ob eingesetzte node.js-basierte Software VM2 einbindet, natürlich auch nicht.