Katalog CVE

CVE-2026-26956

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.92%

Percentyl 56 — wyżej niż 56% wszystkich znanych CVE

Streszczenie

vm2 w wersji 3.10.4 zawiera podatność umożliwiającą całkowite ominięcie sandboksa i wykonanie dowolnego kodu na hoście. Atakujący może uzyskać dostęp do obiektu procesu hosta i uruchamiać polecenia bez żadnej współpracy z hostem.

Ocena ryzyka

Ryzyko dla organizacji jest krytyczne – atakujący może przejąć kontrolę nad serwerem Node.js, wykonać dowolne polecenia systemowe, uzyskać dostęp do danych i zasobów, co prowadzi do pełnej kompromitacji środowiska.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę vm2 do wersji 3.10.5 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

vm2 is an open source vm/sandbox for Node.js. In version 3.10.4, vm2 is vulnerable to full sandbox escape with arbitrary code execution. Attacker code inside VM.run() obtains host process object and runs host commands with zero host cooperation. This issue has been patched in version 3.10.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS