Scanner gratuitement
Analyse en attenteCVE-2026-45411

CVE-2026-45411: Arbitrary Code Execution in vm2

Plateforme

nodejs

Composant

vm2

Corrigé dans

3.11.3

Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-45411 affecte la bibliothèque vm2, un environnement d'exécution sandbox pour Node.js. Elle permet à un attaquant d'exécuter du code arbitraire sur le système hôte en exploitant une faille dans la gestion des exceptions à l'intérieur d'un générateur asynchrone. Cette vulnérabilité touche les versions de vm2 antérieures à 3.11.3 et a été corrigée dans cette version.

Impact et Scénarios d'Attaque

L'impact de cette vulnérabilité est critique. Un attaquant peut exploiter la faille en injectant du code malveillant dans le sandbox vm2, puis en utilisant l'expression yield pour capturer une exception de l'hôte. En fermant le générateur avec la fonction return et en attendant la valeur, les exceptions lancées dans la fonction then sont interceptées et transmises à l'itérateur yield. Cela permet à l'attaquant de s'échapper du sandbox et d'exécuter des commandes arbitraires sur le système hôte avec les privilèges du processus Node.js. Le risque est d'une perte de confidentialité, d'intégrité et de disponibilité des données, voire d'une prise de contrôle complète du système. Cette vulnérabilité présente un risque élevé de compromission, similaire à d'autres failles d'évasion de sandbox.

Contexte d'Exploitation

La vulnérabilité CVE-2026-45411 a été publiée le 13 mai 2026. Sa sévérité est considérée comme critique (CVSS 9.8). Il n'y a pas d'indication qu'elle soit activement exploitée à l'heure actuelle, ni de mention sur KEV ou EPSS. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement compte tenu de la sévérité et de la nature de la vulnérabilité.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

CISA SSVC

Exploitationpoc
Automatisableyes
Impact Techniquetotal

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantvm2
Fournisseurpatriksimek
Version minimale0.0.0
Version maximale< 3.11.3
Corrigé dans3.11.3

Classification de Faiblesse (CWE)

CWE-668

Chronologie

  1. Réservé
  2. Publiée

Mitigation et Contournements

La mitigation principale consiste à mettre à jour la bibliothèque vm2 vers la version 3.11.3 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé d'isoler les environnements vm2 en limitant les privilèges du processus Node.js. Envisagez également l'utilisation d'un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes qui pourraient tenter d'exploiter la vulnérabilité. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais des règles générales de détection d'injection de code peuvent être utiles. Après la mise à jour, vérifiez que la version 3.11.3 est bien installée en exécutant npm list vm2 et en vérifiant la version affichée.

Comment corrigertraduction en cours…

Actualice a la versión 3.11.3 o superior para mitigar la vulnerabilidad. Esta versión corrige el problema al manejar correctamente las excepciones dentro de los generadores asíncronos, evitando la posibilidad de escape del sandbox.

Questions fréquentes

Que signifie CVE-2026-45411 — Exécution arbitraire de code dans vm2 ?

CVE-2026-45411 décrit une vulnérabilité critique dans la bibliothèque vm2 pour Node.js, permettant à un attaquant d'exécuter du code arbitraire sur le système hôte en s'échappant du sandbox.

Suis-je affecté par CVE-2026-45411 dans vm2 ?

Vous êtes affecté si vous utilisez vm2 dans votre application Node.js et que vous n'avez pas mis à jour vers la version 3.11.3 ou supérieure.

Comment corriger CVE-2026-45411 dans vm2 ?

La correction consiste à mettre à jour la bibliothèque vm2 vers la version 3.11.3 ou supérieure en utilisant npm install [email protected] ou une version ultérieure.

CVE-2026-45411 est-il activement exploité ?

À l'heure actuelle, il n'y a aucune indication que CVE-2026-45411 soit activement exploité, mais sa sévérité élevée suggère qu'il pourrait le devenir rapidement.

Où puis-je trouver l'avis officiel de vm2 pour CVE-2026-45411 ?

Consultez le dépôt GitHub de vm2 pour les détails et les correctifs : [https://github.com/vm2-io/vm2](https://github.com/vm2-io/vm2)

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...