vm2 Sandbox Escape vulnerability

[ixqbar]

请先确认

• 我已搜索并确定这个提交不是重复的

Taro 版本

v4

相关领域

None

使用框架

Vue3

相关平台

• 所有平台
• Web 端（H5）
• 移动端（React-Native）
• 鸿蒙（Harmony）
• 鸿蒙容器（Harmony Hybrid）
• ASCF 元服务
• 快应用（QuickApp）
• 所有小程序
• 微信小程序
• 企业微信小程序
• 京东小程序
• 百度小程序
• 支付宝小程序
• 支付宝 IOT 小程序
• 头条小程序
• QQ 小程序
• 钉钉小程序
• 飞书小程序
• 快手小程序

小程序基础库版本

No response

问题描述

vm2 Sandbox Escape vulnerability

复现链接

GHSA-cchq-frgv-rjh5

复现步骤

vm2 Sandbox Escape vulnerability

环境信息

👽 Taro v4.1.5


  Taro CLI 4.1.5 environment info:
    System:
      OS: macOS 26.0
      Shell: 5.9 - /bin/zsh
    Binaries:
      Node: 22.14.0 - ~/.local/state/fnm_multishells/15684_1737435781688/bin/node
      Yarn: 1.22.22 - /usr/local/bin/yarn
      npm: 10.9.2 - ~/.local/state/fnm_multishells/15684_1737435781688/bin/npm
    npmPackages:
      @tarojs/cli: 4.1.5 => 4.1.5
      @tarojs/components: 4.1.5 => 4.1.5
      @tarojs/helper: 4.1.5 => 4.1.5
      @tarojs/plugin-framework-vue3: 4.1.5 => 4.1.5
      @tarojs/plugin-html: 4.1.5 => 4.1.5
      @tarojs/plugin-platform-alipay: 4.1.5 => 4.1.5
      @tarojs/plugin-platform-h5: 4.1.5 => 4.1.5
      @tarojs/plugin-platform-jd: 4.1.5 => 4.1.5
      @tarojs/plugin-platform-qq: 4.1.5 => 4.1.5
      @tarojs/plugin-platform-swan: 4.1.5 => 4.1.5
      @tarojs/plugin-platform-tt: 4.1.5 => 4.1.5
      @tarojs/plugin-platform-weapp: 4.1.5 => 4.1.5
      @tarojs/runtime: 4.1.5 => 4.1.5
      @tarojs/shared: 4.1.5 => 4.1.5
      @tarojs/taro: 4.1.5 => 4.1.5
      @tarojs/taro-loader: 4.1.5 => 4.1.5
      @tarojs/webpack5-runner: 4.1.5 => 4.1.5
      babel-preset-taro: 4.1.5 => 4.1.5
      eslint-config-taro: 4.1.5 => 4.1.5

开源贡献

• 我愿意修复这个错误。请参考 (贡献指南)