Platform
nodejs
Component
@enclave-vm/core
Opgelost in
2.11.2
2.11.1
CVE-2026-27597 beschrijft een remote code execution (RCE) kwetsbaarheid in de @enclave-vm/core bibliotheek. Deze kwetsbaarheid maakt het mogelijk om de beveiligingsgrenzen van de sandbox te omzeilen, wat kan leiden tot ongeautoriseerde code-uitvoering. De kwetsbaarheid treedt op doordat een aanvaller de native Object constructor kan verkrijgen in plaats van de SafeObject wrapper. De kwetsbaarheid is verholpen in versie 2.11.1.
Een succesvolle exploitatie van CVE-2026-27597 stelt een aanvaller in staat om willekeurige code uit te voeren binnen de context van de @enclave-vm/core sandbox. Dit kan leiden tot volledige controle over het systeem, inclusief toegang tot gevoelige gegevens en de mogelijkheid om andere systemen aan te vallen. De kwetsbaarheid maakt gebruik van de mogelijkheid om property descriptors te verkrijgen via Object.getOwnPropertyDescriptors, waardoor toegang wordt verkregen tot eigenschappen die normaal gesproken beperkt zijn. Het gebruik van hostmemorytrack, een host object, kan verdere ontsnapping mogelijk maken, zelfs met ingestelde geheugenlimieten. Dit is vergelijkbaar met sandbox-ontsnappings kwetsbaarheden die in andere omgevingen zijn waargenomen, waarbij de beperkingen van een geïsoleerde omgeving worden omzeild om toegang te krijgen tot de onderliggende systemen.
Op dit moment is er geen publieke exploitatie van CVE-2026-27597 bekend. De kwetsbaarheid is openbaar gemaakt op 2026-02-25. Er is geen vermelding op CISA KEV. Er zijn geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid wordt beschouwd als kritiek vanwege de mogelijkheid van remote code execution.
Applications utilizing the @enclave-vm/core Node.js module, particularly those relying on its security sandbox for sensitive operations, are at risk. This includes applications handling untrusted data or performing operations with elevated privileges. Developers using older versions of the module and those with default configurations (memory limits enabled) are particularly vulnerable.
• nodejs / module:
npm list @enclave-vm/core• nodejs / module: Check for versions prior to 2.11.1.
• nodejs / module: Examine application code for usage of Object.getOwnPropertyDescriptors within the context of @enclave-vm/core.
disclosure
Exploit Status
EPSS
0.50% (66% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-27597 is het upgraden van @enclave-vm/core naar versie 2.11.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de @enclave-vm/core functionaliteit. Omdat de kwetsbaarheid voortkomt uit het verkrijgen van de native Object constructor, kan het implementeren van strikte typecontroles en validatie van input helpen om de impact te verminderen. Er zijn geen specifieke WAF-regels of detectie signatures bekend, maar het monitoren van processen die @enclave-vm/core gebruiken op ongebruikelijke activiteit is aan te raden. Na de upgrade, bevestig de correcte werking door de functionaliteit te testen die afhankelijk is van @enclave-vm/core.
Werk het pakket `@enclave-vm/core` bij naar versie 2.11.1 of hoger. Dit verhelpt de sandbox escape kwetsbaarheid en voorkomt mogelijke remote code execution. Voer `npm install @enclave-vm/core@latest` uit om bij te werken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27597 is een kritieke remote code execution (RCE) kwetsbaarheid in de @enclave-vm/core bibliotheek, waardoor een aanvaller de beveiligingsgrenzen kan omzeilen en code kan uitvoeren.
U bent mogelijk kwetsbaar als u een versie van @enclave-vm/core gebruikt die ouder is dan 2.11.1.
Upgrade @enclave-vm/core naar versie 2.11.1 of hoger om deze kwetsbaarheid te verhelpen.
Op dit moment zijn er geen meldingen van actieve exploitatie van CVE-2026-27597, maar de kwetsbaarheid wordt als kritiek beschouwd.
Raadpleeg de officiële documentatie van @enclave-vm/core voor de meest recente informatie en advisories over CVE-2026-27597.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.