Katalog CVE

CVE-2026-44007

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.90%

Percentyl 55 — wyżej niż 55% wszystkich znanych CVE

Streszczenie

W vm2 przed wersją 3.11.1, gdy NodeVM jest tworzone z opcją nesting: true, kod w piaskownicy może bezwarunkowo zażądać modułu 'vm2', ignorując konfigurację require zewnętrznej maszyny wirtualnej, w tym require: false. Dzięki dostępowi do vm2, piaskownica może utworzyć nowe NodeVM z nieograniczonymi ustawieniami require i wykonać dowolne polecenia systemowe na hoście.

Ocena ryzyka

Każda aplikacja uruchamiająca niezaufany kod w NodeVM z nesting: true jest całkowicie zagrożona, co może prowadzić do pełnego przejęcia hosta i wykonania dowolnych poleceń przez atakującego.

Rekomendacja

Należy natychmiast zaktualizować vm2 do wersji 3.11.1 lub nowszej, która zawiera poprawkę usuwającą tę podatność.

Oryginalny opis (angielski, źródło NVD)

vm2 is an open source vm/sandbox for Node.js. Prior to 3.11.1, when a NodeVM is created with nesting: true, sandbox code can unconditionally require('vm2') regardless of the outer VM's require configuration — including require: false. With access to vm2, the sandbox constructs a new inner NodeVM with its own unrestricted require settings and executes arbitrary OS commands on the host. Any application that runs untrusted code inside a NodeVM with nesting: true is fully compromised. This vulnerability is fixed in 3.11.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS