vm2 is a sandbox that can run untrusted code with whitelisted Node's built-in modules. In versions prior to version 3.9.11, a threat actor can bypass the sandbox protections to gain remote code execution rights on the host running the sandbox. This vulnerability was patched in the release of version 3.9.11 of vm2. There are no known workarounds.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HVm2 Project Vm2
APPVm2 Project< 3.9.11
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
Referencje
Powiązane podatności
CVE-2026-44005CRITICAL10.0PL ✓ten sam produkt
vm2: mutacja prototypów hosta z poziomu sandbox (prototype pollution)
CVE-2026-44006CRITICAL10.0PL ✓ten sam produkt
vm2 (Node.js): ucieczka z sandbox przez BaseHandler.getPrototypeOf (RCE)
CVE-2026-43997CRITICAL10.0PL ✓ten sam produkt
Ucieczka z sandboxa w bibliotece vm2 dla Node.js (RCE)
CVE-2026-43999CRITICAL9.9PL ✓ten sam produkt
vm2: ominięcie listy dozwolonych modułów i RCE przez builtin 'module'
CVE-2026-44007CRITICAL9.1PL ✓ten sam produkt
vm2 (Node.js): ucieczka z sandbox przez zagnieżdżony NodeVM (RCE)