CRITICAL🇬🇧 English

CVE-2026-26956

Ucieczka z sandbox i RCE w vm2 dla Node.js (wersja 3.10.4)

CVSS 9.8v3.1pub. 2026-05-04upd. 2026-06-30

Biblioteka vm2 w wersji 3.10.4 zawiera krytyczną podatność umożliwiającą pełną ucieczkę z środowiska sandbox i wykonanie dowolnego kodu na hoście. Atakujący może przejąć kontrolę nad procesem hosta bez jakiejkolwiek współpracy po stronie systemu docelowego.

Pokaż oryginał (EN)

vm2 is an open source vm/sandbox for Node.js. In version 3.10.4, vm2 is vulnerable to full sandbox escape with arbitrary code execution. Attacker code inside VM.run() obtains host process object and runs host commands with zero host cooperation. This issue has been patched in version 3.10.5.

🤖 Analiza AI
Jak działa

Kod uruchamiany wewnątrz izolowanego środowiska vm2 poprzez funkcję VM.run() jest w stanie uzyskać dostęp do obiektu procesu hosta (host process object). Dzięki temu możliwe jest wykonanie dowolnych poleceń systemowych bezpośrednio na maszynie hosta, całkowicie omijając mechanizmy izolacji sandbox. Podatność nie wymaga żadnych uprawnień ani interakcji po stronie użytkownika, a wektor ataku jest sieciowy.

Skutki

Atakujący uzyskuje pełną kontrolę nad procesem hosta, co umożliwia wykonanie dowolnego kodu (RCE), kradzież danych, modyfikację systemu lub dalszy lateral movement w sieci.

Mitygacja

Należy zaktualizować bibliotekę vm2 do wersji 3.10.5, w której podatność została załatana. Szczegóły dostępne w referencjach producenta: https://github.com/patriksimek/vm2/releases/tag/v3.10.5

Kogo dotyczy

vm2 w wersji 3.10.4 (projekt Vm2 Project Vm2)

Uwagi

Podatność została zgłoszona i załatana przez autorów projektu vm2 (patriksimek). Szczegółowe informacje opublikowano w security advisory GHSA-ffh4-j6h5-pg66 na GitHub.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Vm2 Project Vm2

    APP
    Vm2 Project
    < 3.10.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-44005CRITICAL10.0PL ✓ten sam produkt

vm2: mutacja prototypów hosta z poziomu sandbox (prototype pollution)

CVE-2026-44006CRITICAL10.0PL ✓ten sam produkt

vm2 (Node.js): ucieczka z sandbox przez BaseHandler.getPrototypeOf (RCE)

CVE-2026-43997CRITICAL10.0PL ✓ten sam produkt

Ucieczka z sandboxa w bibliotece vm2 dla Node.js (RCE)

CVE-2026-43999CRITICAL9.9PL ✓ten sam produkt

vm2: ominięcie listy dozwolonych modułów i RCE przez builtin 'module'

CVE-2026-44007CRITICAL9.1PL ✓ten sam produkt

vm2 (Node.js): ucieczka z sandbox przez zagnieżdżony NodeVM (RCE)