1. CVE-Search
  2. CVE-2022-36067
ID CVE-2022-36067
Summary vm2 is a sandbox that can run untrusted code with whitelisted Node's built-in modules. In versions prior to version 3.9.11, a threat actor can bypass the sandbox protections to gain remote code execution rights on the host running the sandbox. This vulnerability was patched in the release of version 3.9.11 of vm2. There are no known workarounds.
References
Vulnerable Configurations
  • cpe:2.3:a:vm2_project:vm2:-:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:-:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.1.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.1.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.1.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.1.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.2.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.2.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.2.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.2.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.2.2:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.2.2:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.2.3:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.2.3:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.2.4:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.2.4:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:1.0.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:1.0.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:1.0.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:1.0.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:2.0.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:2.0.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:2.0.2:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:2.0.2:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.0.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.0.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.0.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.0.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.1.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.1.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.2.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.2.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.3.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.3.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.3.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.3.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.4.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.4.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.4.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.4.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.4.3:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.4.3:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.4.4:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.4.4:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.4.5:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.4.5:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.4.6:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.4.6:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.5.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.5.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.5.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.5.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.5.2:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.5.2:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.2:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.2:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.3:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.3:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.4:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.4:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.5:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.5:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.6:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.6:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.7:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.7:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.8:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.8:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.9:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.9:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.10:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.10:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.11:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.11:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.7.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.7.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.8.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.8.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.8.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.8.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.8.2:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.8.2:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.8.3:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.8.3:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.8.4:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.8.4:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.2:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.2:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.3:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.3:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.4:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.4:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.5:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.5:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.6:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.6:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.7:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.7:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.8:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.8:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.9:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.9:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.10:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.10:*:*:*:*:node.js:*:*
CVSS
Base: None
Impact:
Exploitability:
CWE CWE-913
CAPEC
Access
VectorComplexityAuthentication
Impact
ConfidentialityIntegrityAvailability
Last major update 08-11-2022 - 03:03
Published 06-09-2022 - 22:15
Last modified 08-11-2022 - 03:03
Back to Top