Katalog CVE

CVE-2026-44006

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.82%

Percentyl 52 — wyżej niż 52% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece vm2 dla Node.js umożliwia atakującemu ominięcie sandboksa i uzyskanie dostępu do dowolnych prototypów obiektów. Problem został naprawiony w wersji 3.11.0.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do eskalacji uprawnień w środowisku Node.js, co może prowadzić do wykonania nieautoryzowanego kodu lub kradzieży danych.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę vm2 do wersji 3.11.0 lub nowszej.

Oryginalny opis (angielski, źródło NVD)

vm2 is an open source vm/sandbox for Node.js. Prior to 3.11.0, It is possible to reach BaseHandler.getPrototypeOf, which can be used to get arbitrary prototypes. This vulnerability is fixed in 3.11.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS