CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-22709

Critical
Published: Translated: NVD NIST

Summary

vm2 to otwarte źródło vm/sandbox dla Node.js. W wersjach przed 3.10.2, sanizacja callbacków `Promise.prototype.then` i `Promise.prototype.catch` może zostać ominięta, co pozwala atakującym na ucieczkę z sandboxa i uruchomienie dowolnego kodu.

Risk Assessment

Umożliwienie atakującym wykonania dowolnego kodu w systemie stwarza poważne zagrożenie dla bezpieczeństwa aplikacji oraz danych organizacji.

Recommendation

Zaleca się aktualizację do wersji 3.10.2 lub nowszej, aby usunąć tę podatność.

Original NVD description (English source)

vm2 is an open source vm/sandbox for Node.js. In vm2 prior to version 3.10.2, `Promise.prototype.then` `Promise.prototype.catch` callback sanitization can be bypassed. This allows attackers to escape the sandbox and run arbitrary code. In lib/setup-sandbox.js, the callback function of `localPromise.prototype.then` is sanitized, but `globalPromise.prototype.then` is not sanitized. The return value of async functions is `globalPromise` object. Version 3.10.2 fixes the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS