Katalog CVE

CVE-2026-22709

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

vm2 to otwarte źródło vm/sandbox dla Node.js. W wersjach przed 3.10.2, sanizacja callbacków `Promise.prototype.then` i `Promise.prototype.catch` może zostać ominięta, co pozwala atakującym na ucieczkę z sandboxa i uruchomienie dowolnego kodu.

Ocena ryzyka

Umożliwienie atakującym wykonania dowolnego kodu w systemie stwarza poważne zagrożenie dla bezpieczeństwa aplikacji oraz danych organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 3.10.2 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

vm2 is an open source vm/sandbox for Node.js. In vm2 prior to version 3.10.2, `Promise.prototype.then` `Promise.prototype.catch` callback sanitization can be bypassed. This allows attackers to escape the sandbox and run arbitrary code. In lib/setup-sandbox.js, the callback function of `localPromise.prototype.then` is sanitized, but `globalPromise.prototype.then` is not sanitized. The return value of async functions is `globalPromise` object. Version 3.10.2 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS