CVE-2026-22709
CriticalSummary
vm2 to otwarte źródło vm/sandbox dla Node.js. W wersjach przed 3.10.2, sanizacja callbacków `Promise.prototype.then` i `Promise.prototype.catch` może zostać ominięta, co pozwala atakującym na ucieczkę z sandboxa i uruchomienie dowolnego kodu.
Risk Assessment
Umożliwienie atakującym wykonania dowolnego kodu w systemie stwarza poważne zagrożenie dla bezpieczeństwa aplikacji oraz danych organizacji.
Recommendation
Zaleca się aktualizację do wersji 3.10.2 lub nowszej, aby usunąć tę podatność.
Original NVD description (English source)
vm2 is an open source vm/sandbox for Node.js. In vm2 prior to version 3.10.2, `Promise.prototype.then` `Promise.prototype.catch` callback sanitization can be bypassed. This allows attackers to escape the sandbox and run arbitrary code. In lib/setup-sandbox.js, the callback function of `localPromise.prototype.then` is sanitized, but `globalPromise.prototype.then` is not sanitized. The return value of async functions is `globalPromise` object. Version 3.10.2 fixes the issue.

