Plataforma
nodejs
Componente
@enclave-vm/core
Corregido en
2.11.2
2.11.1
Se ha descubierto una vulnerabilidad de ejecución remota de código (RCE) en la biblioteca @enclave-vm/core. Esta falla permite a un atacante evadir las fronteras de seguridad establecidas por la biblioteca, lo que podría resultar en la ejecución de código arbitrario en el sistema. La vulnerabilidad afecta a versiones anteriores a 2.11.1 y ha sido corregida en esta versión. Se recomienda actualizar inmediatamente.
La vulnerabilidad CVE-2026-27597 permite a un atacante obtener el constructor nativo Object en lugar del SafeObject wrapper. Esto permite recuperar descriptores de propiedades a través de Object.getOwnPropertyDescriptors, otorgando acceso a propiedades que de otro modo estarían restringidas por el sandbox. El atacante podría entonces explotar esta capacidad para ejecutar código malicioso, potencialmente comprometiendo la confidencialidad, integridad y disponibilidad del sistema. La capacidad de obtener acceso a hostmemorytrack agrava el riesgo, permitiendo la evasión a través del host.
La vulnerabilidad CVE-2026-27597 fue publicada el 25 de febrero de 2026. No se ha confirmado la explotación activa en entornos reales, pero la naturaleza crítica de la vulnerabilidad (CVSS 10) y la posibilidad de ejecución remota de código la convierten en un objetivo atractivo para los atacantes. Se desconoce si la vulnerabilidad ha sido agregada al KEV de CISA.
Applications utilizing the @enclave-vm/core Node.js module, particularly those relying on its security sandbox for sensitive operations, are at risk. This includes applications handling untrusted data or performing operations with elevated privileges. Developers using older versions of the module and those with default configurations (memory limits enabled) are particularly vulnerable.
• nodejs / module:
npm list @enclave-vm/core• nodejs / module: Check for versions prior to 2.11.1.
• nodejs / module: Examine application code for usage of Object.getOwnPropertyDescriptors within the context of @enclave-vm/core.
disclosure
Estado del Exploit
EPSS
0.50% (66% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-27597 es actualizar a la versión 2.11.1 de @enclave-vm/core. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales. Aunque no es una solución completa, limitar el acceso a la biblioteca y restringir los permisos de los usuarios que la utilizan puede reducir el impacto potencial. Monitorear los logs del sistema en busca de actividades sospechosas relacionadas con la manipulación de objetos o el acceso a memoria restringida también es crucial. Después de la actualización, confirme la corrección verificando que el constructor Object se envuelva correctamente con SafeObject.
Actualice el paquete `@enclave-vm/core` a la versión 2.11.1 o superior. Esto solucionará la vulnerabilidad de escape de sandbox y prevendrá la posible ejecución remota de código. Ejecute `npm install @enclave-vm/core@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27597 is a critical remote code execution vulnerability in the @enclave-vm/core Node.js module, allowing attackers to bypass security boundaries and potentially execute arbitrary code.
You are affected if you are using @enclave-vm/core versions prior to 2.11.1. Check your project dependencies immediately.
Upgrade to version 2.11.1 or later. If immediate upgrade is not possible, consider temporarily disabling memory limits, but understand the security implications.
There is currently no indication of active exploitation, but the CRITICAL severity warrants immediate action.
Refer to the project's repository or official documentation for the advisory related to CVE-2026-27597.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.