1. CVE-Search
  2. CVE-2023-29199
ID CVE-2023-29199
Summary There exists a vulnerability in source code transformer (exception sanitization logic) of vm2 for versions up to 3.9.15, allowing attackers to bypass `handleException()` and leak unsanitized host exceptions which can be used to escape the sandbox and run arbitrary code in host context. A threat actor can bypass the sandbox protections to gain remote code execution rights on the host running the sandbox. This vulnerability was patched in the release of version `3.9.16` of `vm2`.
References
Vulnerable Configurations
  • cpe:2.3:a:vm2_project:vm2:-:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:-:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.1.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.1.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.1.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.1.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.2.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.2.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.2.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.2.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.2.2:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.2.2:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.2.3:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.2.3:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:0.2.4:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:0.2.4:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:1.0.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:1.0.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:1.0.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:1.0.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:2.0.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:2.0.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:2.0.2:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:2.0.2:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.0.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.0.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.0.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.0.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.1.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.1.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.2.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.2.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.3.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.3.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.3.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.3.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.4.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.4.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.4.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.4.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.4.3:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.4.3:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.4.4:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.4.4:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.4.5:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.4.5:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.4.6:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.4.6:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.5.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.5.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.5.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.5.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.5.2:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.5.2:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.2:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.2:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.3:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.3:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.4:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.4:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.5:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.5:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.6:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.6:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.7:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.7:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.8:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.8:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.9:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.9:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.10:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.10:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.6.11:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.6.11:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.7.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.7.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.8.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.8.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.8.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.8.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.8.2:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.8.2:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.8.3:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.8.3:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.8.4:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.8.4:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.2:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.2:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.3:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.3:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.4:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.4:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.5:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.5:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.6:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.6:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.7:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.7:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.8:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.8:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.9:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.9:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.10:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.10:*:*:*:*:node.js:*:*
  • cpe:2.3:a:vm2_project:vm2:3.9.11:*:*:*:*:node.js:*:*
    cpe:2.3:a:vm2_project:vm2:3.9.11:*:*:*:*:node.js:*:*
CVSS
Base: None
Impact:
Exploitability:
CWE CWE-913
CAPEC
Access
VectorComplexityAuthentication
Impact
ConfidentialityIntegrityAvailability
Last major update 25-04-2023 - 15:14
Published 14-04-2023 - 19:15
Last modified 25-04-2023 - 15:14
Back to Top