CRITICAL🇬🇧 English

CVE-2026-24120

Ucieczka z sandboxa vm2 umożliwiająca RCE na hoście (Node.js)

CVSS 9.8v3.1pub. 2026-05-04upd. 2026-06-30

Biblioteka vm2 dla Node.js w wersjach wcześniejszych niż 3.10.5 zawiera podatność pozwalającą na ucieczkę z izolowanego środowiska (sandbox escape) i wykonanie dowolnych poleceń na hoście. Jest to obejście wcześniej wdrożonej poprawki dla CVE-2023-37466, co oznacza, że organizacje które zastosowały tamtą łatkę nadal mogą być narażone.

Pokaż oryginał (EN)

vm2 is an open source vm/sandbox for Node.js. Prior to version 3.10.5, the fix for CVE-2023-37466 is insufficient and can be circumvented allowing attackers to write code which can escape from the VM2 sandbox and execute arbitrary commands on the host system. This issue has been patched in version 3.10.5.

🤖 Analiza AI
Jak działa

Podatność wynika z niedostatecznej poprawki wprowadzonej w odpowiedzi na CVE-2023-37466 — mechanizm ochrony można ominąć poprzez odpowiednio spreparowany kod JavaScript. Atakujący, który ma możliwość uruchomienia kodu w kontekście sandboxa vm2, może skonstruować payload umożliwiający wyjście poza izolowane środowisko (CWE-94: code injection, CWE-693: niewystarczający mechanizm ochronny). Po ucieczce z sandboxa złośliwy kod uzyskuje dostęp do systemu operacyjnego hosta i może wykonywać dowolne polecenia.

Skutki

Atakujący może całkowicie przełamać izolację sandboxa i wykonać dowolny kod na serwerze hosta, co potencjalnie prowadzi do pełnego przejęcia kontroli nad systemem, kradzieży danych lub dalszego ruchu lateralnego w sieci.

Mitygacja

Należy zaktualizować bibliotekę vm2 do wersji 3.10.5 lub nowszej, w której podatność została naprawiona. Szczegóły dostępne w referencjach producenta: https://github.com/patriksimek/vm2/releases/tag/v3.10.5

Kogo dotyczy

Vm2 Project vm2 we wszystkich wersjach wcześniejszych niż 3.10.5

Uwagi

Podatność jest obejściem wcześniejszej poprawki dla CVE-2023-37466 — sama aktualizacja do wersji łatającej tamtą podatność jest niewystarczająca. Organizacje używające vm2 powinny zweryfikować, czy zainstalowana wersja to co najmniej 3.10.5.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Vm2 Project Vm2

    APP
    Vm2 Project
    < 3.10.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-44005CRITICAL10.0PL ✓ten sam produkt

vm2: mutacja prototypów hosta z poziomu sandbox (prototype pollution)

CVE-2026-44006CRITICAL10.0PL ✓ten sam produkt

vm2 (Node.js): ucieczka z sandbox przez BaseHandler.getPrototypeOf (RCE)

CVE-2026-43997CRITICAL10.0PL ✓ten sam produkt

Ucieczka z sandboxa w bibliotece vm2 dla Node.js (RCE)

CVE-2026-43999CRITICAL9.9PL ✓ten sam produkt

vm2: ominięcie listy dozwolonych modułów i RCE przez builtin 'module'

CVE-2026-44007CRITICAL9.1PL ✓ten sam produkt

vm2 (Node.js): ucieczka z sandbox przez zagnieżdżony NodeVM (RCE)