Katalog CVE

CVE-2026-47141

ŚrednieCVSS 6.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

vm2 to otwarte źródło vm/sandbox dla Node.js. W wersjach przed 3.11.4, NodeVM udostępnia niektóre wbudowane funkcje obserwacji, które mogą być używane przez kod w piaskownicy do obserwacji danych aplikacji hosta.

Ocena ryzyka

Umożliwienie dostępu do procesowych modułów obserwacyjnych może prowadzić do wycieku danych i naruszenia bezpieczeństwa aplikacji. Kody w piaskownicy mogą nieświadomie uzyskiwać dostęp do wrażliwych informacji.

Rekomendacja

Zaleca się aktualizację do wersji 3.11.4 lub nowszej, aby zablokować dostęp do niebezpiecznych wbudowanych funkcji. Należy również przeanalizować kod w piaskownicy pod kątem potencjalnych luk bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

vm2 is an open source vm/sandbox for Node.js. Prior to version 3.11.4, NodeVM exposes some process-wide observability builtins when they are allowed through require.builtin. The diagnostics_channel, async_hooks, and perf_hooks builtins are not blocked by the dangerous builtin denylist. These modules are process-wide, not sandbox-local. Sandboxed code can use them to observe host application data across the vm2 boundary. This issue has been patched in version 3.11.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS