Katalog CVE

CVE-2026-43999

KrytyczneCVSS 9.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.97%

Percentyl 58 — wyżej niż 58% wszystkich znanych CVE

Streszczenie

Podatność w vm2 przed wersją 3.11.0 pozwala na ominięcie listy dozwolonych modułów wbudowanych NodeVM. Gdy moduł 'builtin' jest dozwolony (nawet przez '*' wildcard), kod w sandboxie może użyć Module._load() do załadowania dowolnego modułu w kontekście hosta, co umożliwia wykonanie kodu zdalnego.

Ocena ryzyka

Atakujący może uruchomić niebezpieczne moduły, takie jak child_process, co prowadzi do pełnego przejęcia serwera i wycieku danych.

Rekomendacja

Należy natychmiast zaktualizować vm2 do wersji 3.11.0 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy wyłączyć moduł 'builtin' w konfiguracji NodeVM.

Oryginalny opis (angielski, źródło NVD)

vm2 is an open source vm/sandbox for Node.js. Prior to 3.11.0, NodeVM's builtin allowlist can be bypassed when the module builtin is allowed (including via the '*' wildcard). The module builtin exposes Node's Module._load(), which loads any module by name directly in the host context, completely bypassing vm2's builtin restriction. This allows sandboxed code to load excluded builtins like child_process and achieve remote code execution. This vulnerability is fixed in 3.11.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS