Katalog CVE

CVE-2026-47131

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

vm2 to otwarte źródło vm/sandbox dla Node.js. Przed wersją 3.11.4, poprzez kombinację określonych wywołań, możliwe było uzyskanie konstruktora TypeError hosta, co pozwalało na ucieczkę z sandboxa i uruchamianie dowolnego kodu.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do uruchamiania złośliwego kodu w systemie, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych.

Rekomendacja

Zaleca się aktualizację do wersji 3.11.4 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

vm2 is an open source vm/sandbox for Node.js. Prior to version 3.11.4, by combining Buffer.call.call({}.__lookupGetter__, Buffer, "__proto__"), Buffer.call.call({}.__lookupSetter__, Buffer, "__proto__"), and Node.js's ERR_INVALID_ARG_TYPE Error, the host's TypeError constructor can be obtained, which allows the escape from the sandbox. This allows attackers to run arbitrary code. This issue has been patched in version 3.11.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS