Plataforma
nodejs
Componente
@enclave-vm/core
Corrigido em
2.11.2
2.11.1
Uma vulnerabilidade de execução remota de código (RCE) foi descoberta no pacote @enclave-vm/core. É possível escapar das fronteiras de segurança impostas pelo componente, permitindo que um atacante execute código arbitrário no sistema. A vulnerabilidade afeta versões anteriores a 2.11.1 e foi corrigida nesta versão.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante obter acesso irrestrito ao sistema. Ao escapar das fronteiras de segurança do @enclave-vm/core, o atacante pode injetar e executar código malicioso, potencialmente comprometendo a confidencialidade, integridade e disponibilidade dos dados. A capacidade de obter o construtor Object nativo e acessar descritores de propriedades restritas via Object.getOwnPropertyDescriptors facilita a exploração, especialmente em cenários onde limites de memória são aplicados e o objeto hostmemorytrack está presente.
A vulnerabilidade foi divulgada em 2026-02-25. Não há informações disponíveis sobre exploração ativa ou sua inclusão no KEV. A existência de um Proof of Concept (PoC) público é desconhecida. A severidade da vulnerabilidade é classificada como crítica devido ao potencial de execução remota de código.
Applications utilizing the @enclave-vm/core Node.js module, particularly those relying on its security sandbox for sensitive operations, are at risk. This includes applications handling untrusted data or performing operations with elevated privileges. Developers using older versions of the module and those with default configurations (memory limits enabled) are particularly vulnerable.
• nodejs / module:
npm list @enclave-vm/core• nodejs / module: Check for versions prior to 2.11.1.
• nodejs / module: Examine application code for usage of Object.getOwnPropertyDescriptors within the context of @enclave-vm/core.
disclosure
Status do Exploit
EPSS
0.50% (percentil 66%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o pacote @enclave-vm/core para a versão 2.11.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais. Embora não seja uma solução completa, restringir o acesso ao objeto hostmemorytrack pode reduzir o impacto potencial. Monitore logs de sistema em busca de atividades suspeitas relacionadas à manipulação de memória ou acesso não autorizado a propriedades do objeto. Após a atualização, confirme a correção executando testes de segurança e verificando a integridade do pacote.
Actualice el paquete `@enclave-vm/core` a la versión 2.11.1 o superior. Esto solucionará la vulnerabilidad de escape de sandbox y prevendrá la posible ejecución remota de código. Ejecute `npm install @enclave-vm/core@latest` para actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27597 is a critical remote code execution vulnerability in the @enclave-vm/core Node.js module, allowing attackers to bypass security boundaries and potentially execute arbitrary code.
You are affected if you are using @enclave-vm/core versions prior to 2.11.1. Check your project dependencies immediately.
Upgrade to version 2.11.1 or later. If immediate upgrade is not possible, consider temporarily disabling memory limits, but understand the security implications.
There is currently no indication of active exploitation, but the CRITICAL severity warrants immediate action.
Refer to the project's repository or official documentation for the advisory related to CVE-2026-27597.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.