Kritické zraniteľnosti vm2 umožňujú unikať zo sandboxu

Vývojári knižnice vm2 pre Node.js opravili sady kritických zraniteľností, ktoré umožňujú vzdialeným neautorizovaným útočníkom uniknúť zo sandboxu a vykonávať kód v hostiteľskom prostredí.

Zraniteľné systémy:

• vm2, verzie 3.11.1 a staršie

Opis činnosti:

Vývojári sandboxového prostredia vm2 knižnice Node.js vydali opravy viacerých kritických zraniteľností, ktoré umožňujú únik zo sandboxu a vzdialené vykonanie kódu na hostiteľskom systéme. 

CVE-2026-24118 (CVSS skóre 9,8): chyba vo funkcii __lookupGetter__

CVE-2026-24120 (CVSS skóre 9,8): chyba vo funkcii resetPromiseSpecies

CVE-2026-24781 (CVSS skóre 9,8): chyba vo funkcii inspect

CVE-2026-26332 (CVSS skóre 9,8): chyba vo funkcii SuppressedError

CVE-2026-26956 (CVSS skóre 9,8): chyba v bezpečnostnom mechanizme pri narábaní s typom premennej/symbolu

CVE-2026-43997 (CVSS skóre 10,0): chyba umožňujúca injektovať kód zneužitím host Object

CVE-2026-43999 (CVSS skóre 9,9): chyba umožňujúca obísť allowlist pre moduly builtin a nahrať napríklad child_process

CVE-2026-44005 (CVSS skóre 10,0): chyba umožňujúca „prototype pollution“

CVE-2026-44006 (CVSS skóre 10,0): chyba vo funkcii BaseHandler.getPrototypeOf

CVE-2026-44007 (CVSS skóre 9,1): chyba správy prístupov

CVE-2026-44008 (CVSS skóre 9,8): chyba vo funkcii neutralizeArraySpeciesBatch()

CVE-2026-44009 (CVSS skóre 9,8): chyba vo funkcii handleException

Možné škody:

• Vzdialené vykonávanie kódu
• Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia vm2 aspoň na verziu 3.11.2.

Odkazy:

• https://thehackernews.com/2026/05/vm2-nodejs-library-vulnerabilities.html
• https://github.com/patriksimek/vm2/security/advisories/