免费扫描
分析待定CVE-2026-44007

CVE-2026-44007: RCE in vm2 Node.js Sandbox

平台

nodejs

组件

vm2

修复版本

3.11.1

在NVD查看
保存

CVE-2026-44007 is a Remote Code Execution (RCE) vulnerability affecting the vm2 Node.js sandbox library. This vulnerability arises when the nesting: true option is enabled during NodeVM creation, allowing untrusted code within the sandbox to bypass require restrictions and execute arbitrary commands on the host system. The vulnerability impacts versions 0.0.0 through 3.10.0 of vm2, and a fix is available in version 3.11.1.

影响与攻击场景

CVE-2026-44007 在 vm2 中允许 nesting: true 下的 NodeVM 中的不受信任代码无条件地 require('vm2'),即使外层的 NodeVMrequire: false。 这使得沙箱能够构建一个新的内部 NodeVM,具有不受限制的 require 设置,并在主机上执行任意的操作系统命令。 运行在 NodeVM 中使用 nesting: true 的不受信任代码的应用程序将被完全破坏。 此漏洞的严重程度很高,CVSS 分数为 9.1,原因是其易于利用以及对完整系统访问的潜在风险。

利用背景

攻击者可以通过将恶意代码注入到具有 nesting: trueNodeVM 的沙箱中来利用此漏洞。 注入的代码将导入 vm2,然后创建一个具有启用 require 的新 NodeVM。 从那时起,攻击者可以执行任意的操作系统命令,从而破坏主机。 漏洞利用相对简单,从而增加了风险。 对于允许用户执行任意代码的应用程序(例如在线开发环境或脚本工具)而言,此漏洞尤其令人担忧。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告1 份威胁报告

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredHigh攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityHigh服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
高 — 需要管理员或特权账户。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
高 — 完全崩溃或资源耗尽,完全拒绝服务。

受影响的软件

组件vm2
供应商patriksimek
最低版本0.0.0
最高版本< 3.11.1
修复版本3.11.1

弱点分类 (CWE)

CWE-284

时间线

  1. 已保留
  2. 发布日期

缓解措施和替代方案

主要缓解措施是升级到 vm2 的 3.11.1 或更高版本。此版本通过限制沙箱在外部 NodeVM 具有 require: false 时导入 vm2 的能力来修复漏洞。 如果无法立即升级,建议在能够应用更新之前禁用 NodeVM 中的 nesting: true 功能。 此外,应审查代码以识别任何使用 nesting: true 的实例并评估相关的风险。 实施额外的安全控制,例如输入验证和权限限制,可以帮助减少漏洞的潜在影响。

修复方法翻译中…

Actualice a la versión 3.11.1 o superior de la biblioteca vm2. Esta versión corrige la vulnerabilidad al asegurar que la opción 'require: false' se aplique correctamente, evitando la ejecución de código arbitrario fuera del sandbox.

常见问题

CVE-2026-44007 是什么 — vm2 中的漏洞?

vm2 是一个 Node.js 模块,它提供了一个隔离的执行环境来运行不受信任的 JavaScript 代码。

vm2 中的 CVE-2026-44007 是否会影响我?

'nesting: true' 选项允许在其他 NodeVM 中创建 NodeVM,这对于某些应用程序可能很有用,但如果管理不当,则会引入安全风险。

如何修复 vm2 中的 CVE-2026-44007?

如果无法立即升级,请禁用您 NodeVM 中的 'nesting: true' 选项。

CVE-2026-44007 是否正在被积极利用?

检查您的代码,看看您是否正在使用 nesting: trueNodeVM,以及您是否允许在这些 NodeVM 中执行不受信任的代码。

在哪里可以找到 vm2 关于 CVE-2026-44007 的官方安全通告?

目前没有专门的工具来检测此漏洞,但手动代码审查是识别它的最佳方法。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...