CVE-2022-25893— vm2 安全漏洞

CVSS 9.8 · Critical EPSS 1.43% · P69 更新于 2025-04-16

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2022-25893 基础信息

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

Arbitrary Code Execution

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

The package vm2 before 3.9.10 are vulnerable to Arbitrary Code Execution due to the usage of prototype lookup for the WeakMap.prototype.set method. Exploiting this vulnerability leads to access to a host object and a sandbox compromise.

来源: 美国国家漏洞数据库 NVD

CVSS Information

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

N/A

来源: 美国国家漏洞数据库 NVD

Vulnerability Title

vm2 安全漏洞

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Description

vm2是捷克Patrik Simek个人开发者的一个 Node.js 的高级虚拟机/沙盒。以使用列入白名单的 Node 内置模块运行不受信任的代码。 vm2 3.9.10之前版本存在安全漏洞，该漏洞源于WeakMap.prototype.set方法使用了原型查找，存在任意代码执行漏洞，会导致对主机对象的访问和沙箱破坏。

来源: 中国国家信息安全漏洞库 CNNVD

CVSS Information

N/A

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Type

N/A

来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商	产品	影响版本	CPE	订阅
-	vm2	unspecified ~ 3.9.10	-

二、漏洞 CVE-2022-25893 的公开POC

#	POC 描述	源链接	神龙链接

AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2022-25893 的情报信息

请登录查看更多情报信息。

CVE-2022-25893 补丁与修复 (2)

CVE-2022-25893 厂商安全公告 (1)

https://security.snyk.io/vuln/SNYK-JS-VM2-2990237

CVE-2022-25893 其他参考 (1)

https://github.com/patriksimek/vm2/issues/444

https://nvd.nist.gov/vuln/detail/CVE-2022-25893

同批安全公告 · n/a · 2022-12-21 · 共 21 条

CVE-2022-25895	7.5 HIGH	lite-dev-server 路径遍历漏洞
CVE-2022-25940	7.5 HIGH	lite-server 安全漏洞
CVE-2022-25931	7.5 HIGH	easy-static-server 路径遍历漏洞
CVE-2022-25904	7.5 HIGH	safe-eval 安全漏洞
CVE-2022-24431	7.4 HIGH	npm abacus-ext-cmdline 操作系统命令注入漏洞
CVE-2022-25171	7.4 HIGH	p4 操作系统命令注入漏洞
CVE-2022-4643	6.3 MEDIUM	docconv 操作系统命令注入漏洞
CVE-2022-44643	5.7 MEDIUM	Grafana 安全漏洞
CVE-2022-25929	5.4 MEDIUM	smoothie 跨站脚本漏洞
CVE-2022-4633	4.3 MEDIUM	Auto Upload Images 跨站请求伪造漏洞
CVE-2022-4632	3.5 LOW	Auto Upload Images 跨站脚本漏洞
CVE-2022-4637	3.5 LOW	ep-3 Bookingsystem 跨站脚本漏洞
CVE-2021-4263	3.5 LOW	Leanote 跨站脚本漏洞
CVE-2022-47581		Isode M-Vault 安全漏洞
CVE-2022-47635		WMS 代码问题漏洞
CVE-2022-46096		Online Covid-19 Directory on Vaccination System 跨站脚本漏洞
CVE-2022-46095		Covid-19 Directory On Vaccination System 跨站脚本漏洞
CVE-2022-40841		NdkAdvancedCustomizationFields 跨站脚本漏洞
CVE-2022-36222		Nokia FastMile 3TG00118ABAD52 信任管理问题漏洞
CVE-2022-36221		Nokia FastMile 3TG00118ABAD52 路径遍历漏洞

IV. Related Vulnerabilities

Same product: vm2

Same vendor: n/a

V. Comments for CVE-2022-25893

暂无评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2022-25893— vm2 安全漏洞

一、漏洞 CVE-2022-25893 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2022-25893 的公开POC

三、漏洞 CVE-2022-25893 的情报信息

CVE-2022-25893 补丁与修复 (2)

CVE-2022-25893 厂商安全公告 (1)

CVE-2022-25893 其他参考 (1)

同批安全公告 · n/a · 2022-12-21 · 共 21 条

IV. Related Vulnerabilities

V. Comments for CVE-2022-25893

发表评论

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2022-25893— vm2 安全漏洞

一、 漏洞 CVE-2022-25893 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2022-25893 的公开POC

三、漏洞 CVE-2022-25893 的情报信息

CVE-2022-25893 补丁与修复 (2)

CVE-2022-25893 厂商安全公告 (1)

CVE-2022-25893 其他参考 (1)

同批安全公告 · n/a · 2022-12-21 · 共 21 条

IV. Related Vulnerabilities

V. Comments for CVE-2022-25893

发表评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

一、漏洞 CVE-2022-25893 基础信息