CRITICAL🇬🇧 English

CVE-2026-44008

Ucieczka z sandboxu vm2 poprzez getter na prototypie tablicy

CVSS 9.8v3.1pub. 2026-05-13upd. 2026-06-30

Biblioteka vm2 dla Node.js w wersjach przed 3.11.2 zawiera podatność umożliwiającą ucieczkę z sandboxu i wykonanie dowolnego kodu na systemie hosta. Błąd jest krytyczny, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

vm2 is an open source vm/sandbox for Node.js. Prior to 3.11.2, the new method neutralizeArraySpeciesBatch works with objects from the other side but can call into this side via getter on the array prototype exposing objects of the wrong side into the sandbox. This can be used to get host objects and get the host Function object. This allows attackers to write code which can escape from the VM2 sandbox and execute arbitrary commands on the host system. This vulnerability is fixed in 3.11.2.

🤖 Analiza AI
Jak działa

Metoda neutralizeArraySpeciesBatch operuje na obiektach z zewnętrznego kontekstu, jednak może być wywołana przez getter zdefiniowany na prototypie tablicy po stronie hosta. Poprzez ten mechanizm obiekty z nieprawidłowego kontekstu (strony hosta) są ujawniane wewnątrz sandboxu. Atakujący może w ten sposób uzyskać dostęp do obiektów hosta, w tym do obiektu Function, co pozwala na skonstruowanie kodu wykonującego się poza sandboxem.

Skutki

Atakujący może całkowicie uciec z izolowanego środowiska vm2 i wykonać dowolne polecenia na systemie hosta, co prowadzi do pełnego przejęcia kontroli nad serwerem.

Mitygacja

Należy zaktualizować bibliotekę vm2 do wersji 3.11.2, w której podatność została naprawiona.

Kogo dotyczy

vm2 w wersjach przed 3.11.2 (biblioteka sandbox/VM dla Node.js, projekt patriksimek/vm2)

Uwagi

Podatność zgłoszona i udokumentowana w ramach GitHub Security Advisory GHSA-9qj6-qjgg-37qq. Poprawka dostępna w wersji 3.11.2.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Vm2 Project Vm2

    APP
    Vm2 Project
    < 3.11.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-44005CRITICAL10.0PL ✓ten sam produkt

vm2: mutacja prototypów hosta z poziomu sandbox (prototype pollution)

CVE-2026-44006CRITICAL10.0PL ✓ten sam produkt

vm2 (Node.js): ucieczka z sandbox przez BaseHandler.getPrototypeOf (RCE)

CVE-2026-43997CRITICAL10.0PL ✓ten sam produkt

Ucieczka z sandboxa w bibliotece vm2 dla Node.js (RCE)

CVE-2026-43999CRITICAL9.9PL ✓ten sam produkt

vm2: ominięcie listy dozwolonych modułów i RCE przez builtin 'module'

CVE-2026-44007CRITICAL9.1PL ✓ten sam produkt

vm2 (Node.js): ucieczka z sandbox przez zagnieżdżony NodeVM (RCE)