CVE-2026-43999
KrytyczneCVSS 9.9Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 58 — wyżej niż 58% wszystkich znanych CVE
Streszczenie
Podatność w vm2 przed wersją 3.11.0 pozwala na ominięcie listy dozwolonych modułów wbudowanych NodeVM. Gdy moduł 'builtin' jest dozwolony (nawet przez '*' wildcard), kod w sandboxie może użyć Module._load() do załadowania dowolnego modułu w kontekście hosta, co umożliwia wykonanie kodu zdalnego.
Ocena ryzyka
Atakujący może uruchomić niebezpieczne moduły, takie jak child_process, co prowadzi do pełnego przejęcia serwera i wycieku danych.
Rekomendacja
Należy natychmiast zaktualizować vm2 do wersji 3.11.0 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy wyłączyć moduł 'builtin' w konfiguracji NodeVM.
Oryginalny opis (angielski, źródło NVD)
vm2 is an open source vm/sandbox for Node.js. Prior to 3.11.0, NodeVM's builtin allowlist can be bypassed when the module builtin is allowed (including via the '*' wildcard). The module builtin exposes Node's Module._load(), which loads any module by name directly in the host context, completely bypassing vm2's builtin restriction. This allows sandboxed code to load excluded builtins like child_process and achieve remote code execution. This vulnerability is fixed in 3.11.0.

