CRITICAL🇬🇧 English

CVE-2026-26332

Ucieczka z sandbox w vm2 poprzez SuppressedError — zdalne RCE

CVSS 9.8v3.1pub. 2026-05-04upd. 2026-06-30

Biblioteka vm2 dla Node.js w wersjach przed 3.11.0 zawiera krytyczną podatność umożliwiającą atakującemu ucieczkę z izolowanego środowiska sandbox. Luka pozwala na wykonanie dowolnego kodu poza środowiskiem sandboxa, co całkowicie kompromituje bezpieczeństwo izolacji.

Pokaż oryginał (EN)

vm2 is an open source vm/sandbox for Node.js. Prior to version 3.11.0, SuppressedError allows attackers to escape the sandbox and run arbitrary code. This issue has been patched in version 3.11.0.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi mechanizmu SuppressedError, który umożliwia atakującemu obejście zabezpieczeń sandboxa (CWE-693 — Protection Mechanism Failure). Poprzez odpowiednio spreparowany kod przekazany do vm2, atakujący może wyjść poza izolowane środowisko wykonywania i uzyskać dostęp do kontekstu hosta Node.js. Mechanizm ten klasyfikowany jest również jako CWE-94 — Code Injection, gdyż efektem jest możliwość wstrzyknięcia i wykonania arbitralnego kodu na poziomie systemu bazowego.

Skutki

Atakujący może uciec z sandboxa vm2 i wykonać dowolny kod w kontekście procesu Node.js hosta, co w konsekwencji może prowadzić do pełnego przejęcia serwera, ujawnienia danych lub przerwania działania usług.

Mitygacja

Należy zaktualizować bibliotekę vm2 do wersji 3.11.0 lub nowszej, w której podatność została usunięta. Szczegóły dostępne w referencjach producenta: https://github.com/patriksimek/vm2/releases/tag/v3.11.0

Kogo dotyczy

Vm2 Project vm2 we wszystkich wersjach przed 3.11.0

Uwagi

Podatność zgłoszona i załatana w ramach GitHub Security Advisory GHSA-55hx-c926-fr95. Biblioteka vm2 jest szeroko stosowana w aplikacjach Node.js wymagających izolowanego wykonywania niezaufanego kodu — każda aplikacja używająca vm2 do sandboxingu powinna traktować aktualizację priorytetowo.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Vm2 Project Vm2

    APP
    Vm2 Project
    < 3.11.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-44005CRITICAL10.0PL ✓ten sam produkt

vm2: mutacja prototypów hosta z poziomu sandbox (prototype pollution)

CVE-2026-44006CRITICAL10.0PL ✓ten sam produkt

vm2 (Node.js): ucieczka z sandbox przez BaseHandler.getPrototypeOf (RCE)

CVE-2026-43997CRITICAL10.0PL ✓ten sam produkt

Ucieczka z sandboxa w bibliotece vm2 dla Node.js (RCE)

CVE-2026-43999CRITICAL9.9PL ✓ten sam produkt

vm2: ominięcie listy dozwolonych modułów i RCE przez builtin 'module'

CVE-2026-44007CRITICAL9.1PL ✓ten sam produkt

vm2 (Node.js): ucieczka z sandbox przez zagnieżdżony NodeVM (RCE)