Katalog CVE

CVE-2026-43997

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.98%

Percentyl 58 — wyżej niż 58% wszystkich znanych CVE

Streszczenie

W bibliotece vm2 dla Node.js przed wersją 3.11.0 istnieje podatność umożliwiająca uzyskanie dostępu do obiektu hosta. Atakujący może wykorzystać różne metody, np. za pomocą HostObject.getOwnPropertySymbols, aby uzyskać Symbol(nodejs.util.inspect.custom) i uciec z piaskownicy.

Ocena ryzyka

Ryzyko polega na możliwości całkowitego ominięcia mechanizmów izolacji piaskownicy, co może prowadzić do wykonania dowolnego kodu na serwerze i przejęcia kontroli nad aplikacją.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę vm2 do wersji 3.11.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

vm2 is an open source vm/sandbox for Node.js. Prior to 3.11.0, it is possible to obtain the host Object. There are various ways to use the host Object, to escape the sandbox, one example would be using HostObject.getOwnPropertySymbols to obtain Symbol(nodejs.util.inspect.custom). This vulnerability is fixed in 3.11.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS