मुफ्त स्कैन करें
CRITICALCVE-2026-27597CVSS 10

@enclave-vm/core is vulnerable to Sandbox Escape

अनुवाद हो रहा है…

प्लेटफ़ॉर्म

nodejs

घटक

@enclave-vm/core

में ठीक किया गया

2.11.2

2.11.1

AI Confidence: highNVDEPSS 0.5%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-27597 describes a remote code execution (RCE) vulnerability within the @enclave-vm/core Node.js module. This flaw allows attackers to bypass security boundaries and potentially execute arbitrary code. The vulnerability impacts versions prior to 2.11.1, and a fix has been released in version 2.11.1.

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

The core of this vulnerability lies in the ability to obtain the native Object constructor instead of the intended SafeObject wrapper. This circumvents the security sandbox implemented by @enclave-vm/core. By retrieving property descriptors via Object.getOwnPropertyDescriptors, an attacker can access properties that are normally restricted. The hostmemorytrack host object, when a memory limit is set (the default configuration), provides a further avenue for escaping the sandbox and achieving code execution. Successful exploitation could allow an attacker to compromise the entire Node.js process and potentially gain control of the underlying system.

शोषण संदर्भअनुवाद हो रहा है…

This vulnerability was publicly disclosed on 2026-02-25. There is currently no indication of active exploitation in the wild, but the CRITICAL severity and the potential for RCE warrant immediate attention. The availability of a fix (version 2.11.1) significantly reduces the risk. No KEV listing or EPSS score is currently available.

कौन जोखिम में हैअनुवाद हो रहा है…

Applications utilizing the @enclave-vm/core Node.js module, particularly those relying on its security sandbox for sensitive operations, are at risk. This includes applications handling untrusted data or performing operations with elevated privileges. Developers using older versions of the module and those with default configurations (memory limits enabled) are particularly vulnerable.

पहचान के चरणअनुवाद हो रहा है…

• nodejs / module:

  npm list @enclave-vm/core

• nodejs / module: Check for versions prior to 2.11.1. • nodejs / module: Examine application code for usage of Object.getOwnPropertyDescriptors within the context of @enclave-vm/core.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट7 खतरा रिपोर्ट

EPSS

0.50% (66% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयyes
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H10.0CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटक@enclave-vm/core
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
< 2.11.1 – < 2.11.12.11.2
2.11.1

कमजोरी वर्गीकरण (CWE)

CWE-94

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation for CVE-2026-27597 is to immediately upgrade the @enclave-vm/core module to version 2.11.1 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider temporarily disabling memory limits within the module's configuration, although this significantly reduces the security posture. While not a complete solution, implementing strict input validation and sanitization on any data passed to the module can help reduce the attack surface. Monitor system logs for unusual activity related to @enclave-vm/core and investigate any suspicious patterns.

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice el paquete `@enclave-vm/core` a la versión 2.11.1 o superior. Esto solucionará la vulnerabilidad de escape de sandbox y prevendrá la posible ejecución remota de código. Ejecute `npm install @enclave-vm/core@latest` para actualizar.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2026-27597 — RCE in @enclave-vm/core?

CVE-2026-27597 is a critical remote code execution vulnerability in the @enclave-vm/core Node.js module, allowing attackers to bypass security boundaries and potentially execute arbitrary code.

Am I affected by CVE-2026-27597 in @enclave-vm/core?

You are affected if you are using @enclave-vm/core versions prior to 2.11.1. Check your project dependencies immediately.

How do I fix CVE-2026-27597 in @enclave-vm/core?

Upgrade to version 2.11.1 or later. If immediate upgrade is not possible, consider temporarily disabling memory limits, but understand the security implications.

Is CVE-2026-27597 being actively exploited?

There is currently no indication of active exploitation, but the CRITICAL severity warrants immediate action.

Where can I find the official @enclave-vm/core advisory for CVE-2026-27597?

Refer to the project's repository or official documentation for the advisory related to CVE-2026-27597.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें