CVE-2026-44007: RCE em vm2 Node.js Sandbox
Plataforma
nodejs
Componente
vm2
Corrigido em
3.11.1
A vulnerabilidade CVE-2026-44007 afeta a biblioteca vm2, um sandbox para Node.js, permitindo a execução de código arbitrário no sistema host. Essa falha ocorre quando a opção 'nesting: true' é utilizada na criação de um NodeVM, permitindo que o código dentro do sandbox requeira o módulo 'vm2' sem restrições. Versões afetadas incluem todas as versões anteriores a 3.11.1. A correção foi implementada na versão 3.11.1.
Impacto e Cenários de Ataque
Um atacante pode explorar essa vulnerabilidade para obter acesso irrestrito ao sistema host. Ao explorar a falha, o atacante pode injetar código malicioso dentro do sandbox, que então constrói um novo NodeVM com configurações de 'require' irrestritas. Isso permite a execução de comandos do sistema operacional com as permissões do processo Node.js, potencialmente comprometendo dados confidenciais, instalando malware ou utilizando o sistema como ponto de partida para ataques a outros sistemas na rede. A severidade é alta devido à facilidade de exploração e ao potencial de impacto devastador.
Contexto de Exploração
A vulnerabilidade foi publicada em 2026-05-13. A probabilidade de exploração é considerada alta devido à natureza crítica da falha e à disponibilidade de informações sobre a vulnerabilidade. Não há evidências de campanhas de exploração ativas no momento da publicação, mas a falta de mitigação pode levar a exploração futura. A vulnerabilidade não está listada no KEV (Kernel Exploit Vulnerability Database) ou EPSS (Exploit Prediction Scoring System) no momento da publicação.
Inteligência de Ameaças
Status do Exploit
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Alto — conta de administrador ou privilegiada necessária.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
Mitigação e Soluções Alternativas
A mitigação primária é atualizar a biblioteca vm2 para a versão 3.11.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar a opção 'nesting: true' na configuração do NodeVM, limitando a capacidade de aninhamento de sandboxes. Implementar regras de firewall ou proxies para restringir o acesso à aplicação Node.js pode ajudar a reduzir a superfície de ataque. Monitore logs de sistema e aplicação em busca de atividades suspeitas, como tentativas de requisição de 'vm2' dentro do sandbox.
Como corrigirtraduzindo…
Actualice a la versión 3.11.1 o superior de la biblioteca vm2. Esta versión corrige la vulnerabilidad al asegurar que la opción 'require: false' se aplique correctamente, evitando la ejecución de código arbitrario fuera del sandbox.
Perguntas frequentes
O que é CVE-2026-44007 — RCE em vm2 Node.js Sandbox?
CVE-2026-44007 é uma vulnerabilidade de execução remota de código (RCE) na biblioteca vm2 do Node.js, permitindo a execução de comandos arbitrários no sistema host se a opção 'nesting: true' estiver habilitada.
Estou afetado por CVE-2026-44007 em vm2 Node.js Sandbox?
Se você estiver utilizando vm2 em versões anteriores a 3.11.1 e a opção 'nesting: true' estiver habilitada, você está afetado. Verifique sua versão e configure adequadamente.
Como corrigir CVE-2026-44007 em vm2 Node.js Sandbox?
Atualize a biblioteca vm2 para a versão 3.11.1 ou superior. Se a atualização não for possível, desative a opção 'nesting: true' ou implemente outras medidas de mitigação.
CVE-2026-44007 em vm2 Node.js Sandbox está sendo ativamente explorado?
Não há evidências de exploração ativa no momento da publicação, mas a vulnerabilidade é crítica e pode ser explorada no futuro. Monitore ativamente seus sistemas.
Onde posso encontrar o advisory oficial do vm2 para CVE-2026-44007?
Consulte o repositório oficial do vm2 no GitHub para obter informações e atualizações sobre a vulnerabilidade: [https://github.com/vm2-io/vm2](https://github.com/vm2-io/vm2)
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...