Gratis scannen
Analyse in behandelingCVE-2026-44007

CVE-2026-44007: RCE in vm2 Node.js Sandbox

Platform

nodejs

Component

vm2

Opgelost in

3.11.1

Bekijk op NVD
Opslaan

CVE-2026-44007 is a Remote Code Execution (RCE) vulnerability affecting the vm2 Node.js sandbox library. This vulnerability arises when the nesting: true option is enabled during NodeVM creation, allowing untrusted code within the sandbox to bypass require restrictions and execute arbitrary commands on the host system. The vulnerability impacts versions 0.0.0 through 3.10.0 of vm2, and a fix is available in version 3.11.1.

Impact en Aanvalsscenarios

CVE-2026-44007 in vm2 stelt niet-vertrouwd code binnen een NodeVM met nesting: true in staat om onvoorwaardelijk vm2 te require, zelfs als de externe NodeVM require: false heeft. Dit stelt de sandbox in staat om een nieuwe interne NodeVM te construeren met ongebeperkte require-instellingen en willekeurige OS-commando's op de host uit te voeren. Applicaties die niet-vertrouwd code binnen een NodeVM met nesting: true uitvoeren, zijn volledig gecompromitteerd. De ernst van deze kwetsbaarheid is hoog, met een CVSS-score van 9.1, vanwege de eenvoudige uitbuiting en het potentieel voor volledige systeemtoegang.

Uitbuitingscontext

Een aanvaller kan deze kwetsbaarheid uitbuiten door kwaadaardige code in de sandbox van een NodeVM met nesting: true te injecteren. De geïnjecteerde code zou vm2 importeren en vervolgens een nieuwe NodeVM met require ingeschakeld creëren. Vanaf dat moment zou de aanvaller willekeurige OS-commando's kunnen uitvoeren, waardoor de host wordt gecompromitteerd. Uitbuiting is relatief eenvoudig, wat het risico vergroot. De kwetsbaarheid is vooral zorgwekkend voor applicaties die gebruikers in staat stellen willekeurige code uit te voeren, zoals online ontwikkelomgevingen of scriptingt tools.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredHighVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeChangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityHighRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Hoog — beheerder of geprivilegieerd account vereist.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Hoog — volledige crash of uitputting van resources. Totale denial of service.

Getroffen Software

Componentvm2
Leverancierpatriksimek
Minimumversie0.0.0
Maximumversie< 3.11.1
Opgelost in3.11.1

Zwakheidsclassificatie (CWE)

CWE-284

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd

Mitigatie en Workarounds

De belangrijkste mitigatie is om te upgraden naar versie 3.11.1 van vm2 of hoger. Deze versie corrigeert de kwetsbaarheid door de mogelijkheid van de sandbox om vm2 te importeren te beperken wanneer de externe NodeVM require: false heeft. Als een onmiddellijke upgrade niet mogelijk is, wordt het aanbevolen om de functie nesting: true in NodeVM uit te schakelen totdat de update kan worden toegepast. Bovendien moet de code worden bekeken om alle instanties te identificeren waar nesting: true wordt gebruikt en het bijbehorende risico te beoordelen. Het implementeren van aanvullende beveiligingscontroles, zoals invoervalidatie en privilege-beperking, kan helpen om de potentiële impact van de kwetsbaarheid te verminderen.

Hoe te verhelpenwordt vertaald…

Actualice a la versión 3.11.1 o superior de la biblioteca vm2. Esta versión corrige la vulnerabilidad al asegurar que la opción 'require: false' se aplique correctamente, evitando la ejecución de código arbitrario fuera del sandbox.

Veelgestelde vragen

Wat is CVE-2026-44007 in vm2?

vm2 is een Node.js-module die een geïsoleerde uitvoeringomgeving biedt voor het uitvoeren van niet-vertrouwd JavaScript-code.

Ben ik getroffen door CVE-2026-44007 in vm2?

De optie 'nesting: true' maakt het mogelijk om NodeVMs binnen andere NodeVMs te creëren, wat nuttig kan zijn voor bepaalde applicaties, maar beveiligingsrisico's introduceert als het niet correct wordt beheerd.

Hoe los ik CVE-2026-44007 in vm2 op?

Als u niet onmiddellijk kunt upgraden, schakel dan de optie 'nesting: true' uit in uw NodeVMs.

Wordt CVE-2026-44007 actief misbruikt?

Bekijk uw code om te zien of u NodeVM gebruikt met nesting: true en of u de uitvoering van niet-vertrouwd code binnen deze NodeVMs toestaat.

Waar vind ik het officiële vm2-beveiligingsadvies voor CVE-2026-44007?

Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar handmatige code-review is de beste manier om deze te identificeren.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...