CRITICAL🇬🇧 English

CVE-2026-44006

vm2 (Node.js): ucieczka z sandbox przez BaseHandler.getPrototypeOf (RCE)

CVSS 10.0v3.1pub. 2026-05-13upd. 2026-06-30

Biblioteka vm2 — sandbox dla Node.js — w wersjach przed 3.11.0 umożliwia atakującemu wydostanie się z izolowanego środowiska wykonania kodu poprzez uzyskanie dostępu do dowolnych prototypów JavaScript. Ze względu na maksymalny wynik CVSS (10.0) podatność stanowi krytyczne zagrożenie dla aplikacji korzystających z vm2 do izolacji niezaufanego kodu.

Pokaż oryginał (EN)

vm2 is an open source vm/sandbox for Node.js. Prior to 3.11.0, It is possible to reach BaseHandler.getPrototypeOf, which can be used to get arbitrary prototypes. This vulnerability is fixed in 3.11.0.

🤖 Analiza AI
Jak działa

Podatność polega na możliwości wywołania metody BaseHandler.getPrototypeOf w sposób niezamierzony przez mechanizmy sandbox. Atakujący może za jej pomocą uzyskać referencję do dowolnego prototypu obiektu JavaScript spoza izolowanego środowiska. Prowadzi to do przełamania granicy sandbox i potencjalnego wykonania dowolnego kodu w kontekście procesu Node.js hosta (code injection, CWE-94).

Skutki

Atakujący może całkowicie wyrwać się z izolacji sandbox i wykonać dowolny kod w kontekście aplikacji hostującej vm2, co w praktyce oznacza pełne przejęcie kontroli nad serwerem — naruszenie poufności, integralności danych oraz dostępności systemu.

Mitygacja

Należy zaktualizować bibliotekę vm2 do wersji 3.11.0 lub nowszej, w której podatność została naprawiona. Jeśli natychmiastowa aktualizacja nie jest możliwa, należy rozważyć alternatywne mechanizmy izolacji niezaufanego kodu.

Kogo dotyczy

Biblioteka vm2 dla Node.js w wersjach przed 3.11.0

Uwagi

Podatność została zgłoszona i naprawiona przez autora projektu vm2 (Patrik Simek) — informacja wynika z referencji do repozytorium GitHub projektu oraz opublikowanego security advisory GHSA-qcp4-v2jj-fjx8.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Vm2 Project Vm2

    APP
    Vm2 Project
    < 3.11.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-44005CRITICAL10.0PL ✓ten sam produkt

vm2: mutacja prototypów hosta z poziomu sandbox (prototype pollution)

CVE-2026-44007CRITICAL9.1PL ✓ten sam produkt

vm2 (Node.js): ucieczka z sandbox przez zagnieżdżony NodeVM (RCE)

CVE-2026-43997CRITICAL10.0PL ✓ten sam produkt

Ucieczka z sandboxa w bibliotece vm2 dla Node.js (RCE)

CVE-2026-43999CRITICAL9.9PL ✓ten sam produkt

vm2: ominięcie listy dozwolonych modułów i RCE przez builtin 'module'

CVE-2026-44008CRITICAL9.8PL ✓ten sam produkt

Ucieczka z sandboxu vm2 poprzez getter na prototypie tablicy

CVE-2026-44006 — vm2 (Node.js): ucieczka z sandbox przez BaseHandler.getPrototypeOf (RCE) — CRITICAL 10.0 | CVEbaza.pl