CVE-2026-45411: Escape Sandbox em vm2 v3.11.3
Plataforma
nodejs
Componente
vm2
Corrigido em
3.11.3
A vulnerabilidade CVE-2026-45411 afeta a biblioteca vm2, um sandbox para Node.js, permitindo que um atacante escape do ambiente isolado e execute comandos arbitrários no sistema host. Essa falha ocorre devido a uma manipulação inadequada de exceções usando a expressão yield* dentro de geradores assíncronos. Versões do vm2 anteriores à 3.11.3 são vulneráveis, e a correção foi implementada nesta versão.
Impacto e Cenários de Ataque
Um atacante pode explorar esta vulnerabilidade injetando código malicioso dentro do sandbox vm2. Ao manipular as exceções e usar a expressão yield*, o atacante pode forçar o sandbox a retornar um valor que, quando aguardado, resulta na captura da exceção e sua propagação para o sistema host. Isso permite a execução de código arbitrário com os privilégios do processo Node.js que está executando o vm2. O impacto é severo, pois a violação do sandbox compromete a segurança do sistema host, permitindo acesso não autorizado a dados e recursos. A exploração bem-sucedida pode levar à instalação de malware, roubo de informações confidenciais e controle total do sistema.
Contexto de Exploração
A vulnerabilidade CVE-2026-45411 foi publicada em 2026-05-13. A probabilidade de exploração é considerada alta (EPSS score pendente), dada a natureza crítica da vulnerabilidade e a possibilidade de execução de código arbitrário. Embora não haja relatos públicos de exploração ativa no momento da publicação, a facilidade de exploração e o potencial impacto tornam esta vulnerabilidade um alvo atraente para atacantes. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
Mitigação e Soluções Alternativas
A mitigação primária é atualizar a biblioteca vm2 para a versão 3.11.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível devido a incompatibilidades, considere implementar medidas de proteção adicionais. Uma possível medida temporária é restringir o acesso ao sandbox vm2, limitando as operações que podem ser executadas dentro dele. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de execução de comandos não autorizados. Implementar regras em um Web Application Firewall (WAF) para detectar e bloquear padrões de ataque conhecidos pode ajudar a mitigar o risco, embora não seja uma solução completa. Verifique se a versão atualizada do vm2 está funcionando corretamente após a atualização, confirmando que o sandbox ainda está isolado e que as operações dentro dele estão sendo executadas conforme o esperado.
Como corrigirtraduzindo…
Actualice a la versión 3.11.3 o superior para mitigar la vulnerabilidad. Esta versión corrige el problema al manejar correctamente las excepciones dentro de los generadores asíncronos, evitando la posibilidad de escape del sandbox.
Perguntas frequentes
O que é CVE-2026-45411 — Escape Sandbox em vm2 v3.11.3?
CVE-2026-45411 é uma vulnerabilidade crítica na biblioteca vm2 para Node.js que permite a execução de código arbitrário no sistema host, escapando do ambiente sandbox.
Estou afetado por CVE-2026-45411 em vm2?
Se você estiver utilizando vm2 em versões anteriores a 3.11.3, você está afetado por esta vulnerabilidade. Verifique a versão instalada com npm list vm2.
Como corrigir CVE-2026-45411 em vm2?
Atualize a biblioteca vm2 para a versão 3.11.3 ou superior usando npm install [email protected].
CVE-2026-45411 está sendo ativamente explorado?
Embora não haja relatos públicos de exploração ativa no momento, a vulnerabilidade é considerada de alta probabilidade de exploração devido à sua criticidade e facilidade de exploração.
Onde posso encontrar o advisory oficial do vm2 para CVE-2026-45411?
Consulte o repositório oficial do vm2 no GitHub para obter informações e atualizações sobre a vulnerabilidade: [https://github.com/vm2-io/vm2](https://github.com/vm2-io/vm2)
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...