CVE-2026-47141
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
vm2 to otwarte źródło vm/sandbox dla Node.js. W wersjach przed 3.11.4, NodeVM udostępnia niektóre wbudowane funkcje obserwacji, które mogą być używane przez kod w piaskownicy do obserwacji danych aplikacji hosta.
Ocena ryzyka
Umożliwienie dostępu do procesowych modułów obserwacyjnych może prowadzić do wycieku danych i naruszenia bezpieczeństwa aplikacji. Kody w piaskownicy mogą nieświadomie uzyskiwać dostęp do wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację do wersji 3.11.4 lub nowszej, aby zablokować dostęp do niebezpiecznych wbudowanych funkcji. Należy również przeanalizować kod w piaskownicy pod kątem potencjalnych luk bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
vm2 is an open source vm/sandbox for Node.js. Prior to version 3.11.4, NodeVM exposes some process-wide observability builtins when they are allowed through require.builtin. The diagnostics_channel, async_hooks, and perf_hooks builtins are not blocked by the dangerous builtin denylist. These modules are process-wide, not sandbox-local. Sandboxed code can use them to observe host application data across the vm2 boundary. This issue has been patched in version 3.11.4.

