Katalog CVE

CVE-2026-24118

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.92%

Percentyl 56 — wyżej niż 56% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece vm2 dla Node.js umożliwia ucieczkę z piaskownicy i wykonanie dowolnych poleceń na systemie hosta. Problem został załatany w wersji 3.11.0.

Ocena ryzyka

Atakujący może przełamać izolację piaskownicy vm2 i uzyskać pełną kontrolę nad systemem, co prowadzi do naruszenia poufności, integralności i dostępności danych.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę vm2 do wersji 3.11.0 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy rozważyć tymczasowe wyłączenie funkcjonalności korzystających z vm2.

Oryginalny opis (angielski, źródło NVD)

vm2 is an open source vm/sandbox for Node.js. Prior to version 3.11.0, VM2 suffers from a sandbox breakout vulnerability. This allows attackers to write code which can escape from the VM2 sandbox and execute arbitrary commands on the host system. This issue has been patched in version 3.11.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS