CRITICAL🇬🇧 English

CVE-2026-44009

Podatność w sandbox vm2 dla Node.js — ucieczka z piaskownicy

CVSS 9.8v3.1pub. 2026-05-13upd. 2026-06-30

Biblioteka vm2, służąca jako sandbox dla kodu Node.js, zawiera krytyczną podatność w wersjach przed 3.11.2. Umożliwia ona atakującemu wykonanie nieautoryzowanych operacji poza izolowanym środowiskiem uruchomieniowym.

Pokaż oryginał (EN)

vm2 is an open source vm/sandbox for Node.js. Prior to 3.11.2, This vulnerability is fixed in 3.11.2.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-668 (Exposure of Resource to Wrong Sphere) wskazuje na nieprawidłowe zarządzanie dostępem do zasobów w obrębie mechanizmu izolacji vm2. Kod uruchamiany wewnątrz sandboxa może uzyskać dostęp do zasobów lub kontekstu, które powinny być dla niego niedostępne. Szczegółowy mechanizm techniczny nie został ujawniony w opisie, jednak krytyczna ocena CVSS 9.8 z wektorem sieciowym bez wymaganych uprawnień i interakcji użytkownika wskazuje na poważną wadę izolacji.

Skutki

Atakujący może doprowadzić do ucieczki z piaskownicy (sandbox escape), co w konsekwencji może skutkować nieautoryzowanym dostępem do poufnych danych, naruszeniem integralności systemu oraz potencjalnie pełnym przejęciem kontroli nad hostem.

Mitygacja

Należy zaktualizować bibliotekę vm2 do wersji 3.11.2 lub nowszej, w której podatność została naprawiona. Zaleca się sprawdzenie wszystkich projektów Node.js korzystających z vm2 jako zależności i niezwłoczne zastosowanie aktualizacji.

Kogo dotyczy

Biblioteka vm2 dla Node.js w wersjach przed 3.11.2

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Vm2 Project Vm2

    APP
    Vm2 Project
    < 3.11.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-44005CRITICAL10.0PL ✓ten sam produkt

vm2: mutacja prototypów hosta z poziomu sandbox (prototype pollution)

CVE-2026-44006CRITICAL10.0PL ✓ten sam produkt

vm2 (Node.js): ucieczka z sandbox przez BaseHandler.getPrototypeOf (RCE)

CVE-2026-43997CRITICAL10.0PL ✓ten sam produkt

Ucieczka z sandboxa w bibliotece vm2 dla Node.js (RCE)

CVE-2026-43999CRITICAL9.9PL ✓ten sam produkt

vm2: ominięcie listy dozwolonych modułów i RCE przez builtin 'module'

CVE-2026-44007CRITICAL9.1PL ✓ten sam produkt

vm2 (Node.js): ucieczka z sandbox przez zagnieżdżony NodeVM (RCE)