平台
nodejs
组件
@enclave-vm/core
修复版本
2.11.2
2.11.1
CVE-2026-27597 是 @enclave-vm/core 中的一个远程代码执行 (RCE) 漏洞。攻击者可以逃逸安全边界,从而在受保护的环境中执行恶意代码。此漏洞影响 2.11.1 之前的版本,建议立即升级到 2.11.1 以修复此问题。
该漏洞允许攻击者通过获取原生 Object 构造函数,绕过 @enclave-vm/core 提供的安全沙箱。攻击者可以利用此漏洞访问受限制的属性,例如通过 Object.getOwnPropertyDescriptors 获取属性描述符。一旦获得对这些属性的访问权限,攻击者就可以执行任意代码,完全控制受影响的系统。由于漏洞的严重性,攻击者可能能够窃取敏感数据、破坏系统完整性,甚至完全接管受影响的应用程序。
目前尚无公开的漏洞利用程序 (PoC),但由于漏洞的严重性,预计未来可能会出现。该漏洞已于 2026 年 2 月 25 日公开,目前尚未被添加到 CISA KEV 目录。建议密切关注安全社区的动态,并及时采取缓解措施。
Applications utilizing the @enclave-vm/core Node.js module, particularly those relying on its security sandbox for sensitive operations, are at risk. This includes applications handling untrusted data or performing operations with elevated privileges. Developers using older versions of the module and those with default configurations (memory limits enabled) are particularly vulnerable.
• nodejs / module:
npm list @enclave-vm/core• nodejs / module: Check for versions prior to 2.11.1.
• nodejs / module: Examine application code for usage of Object.getOwnPropertyDescriptors within the context of @enclave-vm/core.
disclosure
漏洞利用状态
EPSS
0.50% (66% 百分位)
CISA SSVC
最有效的缓解措施是立即将 @enclave-vm/core 升级到 2.11.1 或更高版本。如果升级会导致应用程序中断,可以考虑回滚到之前的稳定版本,但请注意这只是临时解决方案。此外,建议审查代码,确保没有其他潜在的安全漏洞。由于该漏洞涉及沙箱逃逸,因此实施严格的输入验证和输出编码措施至关重要,以防止攻击者利用其他漏洞。
Actualice el paquete `@enclave-vm/core` a la versión 2.11.1 o superior. Esto solucionará la vulnerabilidad de escape de sandbox y prevendrá la posible ejecución remota de código. Ejecute `npm install @enclave-vm/core@latest` para actualizar.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-27597 是 @enclave-vm/core 中的一个远程代码执行漏洞,允许攻击者逃逸安全边界并执行恶意代码。
如果您正在使用 @enclave-vm/core 的 2.11.1 之前的版本,则可能受到影响。
将 @enclave-vm/core 升级到 2.11.1 或更高版本。
目前尚无公开的漏洞利用程序,但由于漏洞的严重性,预计未来可能会出现。
请查阅 @enclave-vm/core 的官方安全公告或 GitHub 仓库。
CVSS 向量