Vm2
Уязвимости
32
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.71871
Распределение по критичности
Критический
24
Высокий
5
Средний
3
Низкий
0
Затронутые диапазоны версий
3.9.6–3.11.0< 3.10.2< 3.10.5< 3.11.0< 3.11.1< 3.11.2< 3.11.3< 3.6.11< 3.9.10< 3.9.11< 3.9.15< 3.9.16< 3.9.18< 3.9.4< 3.9.6≤ 3.9.16≤ 3.9.19
Также сопоставлено как (исходные строки): vm2
Топ уязвимостей
CVE-2026-44006vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До 3.11.0 можно добраться до BaseHandler.getPrototypeOf, который можно использовать для получения произвольных прототипов. Эта уязвимость фиксируется в 3.11.0.
CVE-2026-44005vm2 - это vm/sandbox с открытым исходным кодом для Node.js. От 3.9.6 до 3.10.5 мост vm2 обнажает изменчивые прокси для реальных прототипов, а затем перенаправляет песочницу записывает в базовые объекты-хозяева с другим регулируемым SeflectSet() и другимReflectDefineProperty(), что позволяет управляемому злоумышленником JavaScript работать в VM по умолчанию или унаследованном узловом мутате.11.0.
CVE-2026-43997vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До 3.11.0 можно получить объект-хозяин. Существуют различные способы использования объекта хоста, чтобы избежать песочницы, одним из примеров будет использование HostObject.getOnPropertySymbols для получения Symbol(nodejs.util.inspect.custom). Эта уязвимость исправлена в 3.11.0.
CVE-2026-26332Выполнение произвольного кода в vm2
CVE-2026-22709vm2 - это vm/sandbox с открытым исходным кодом для Node.js. В vm2 до версии 3.10.2 `Promise.prototype.then` `Promise.prototype.catch` может быть обойдена дезинфицирующая связь. Это позволяет злоумышленникам вырваться из песочницы и запустить произвольный код. В lib/setup-sandbox.js функция обратного вызова "localPromise.prototype.then`" дезинфицируется, но `globalPromise.prototype.then` не дезинфицируется. Возвратное значение функций асинхронизации является объектом «глобальной Промиграционной». Версия 3.10.2 исправляет проблему.
CVE-2022-36067vm2 — это песочница, которая может запускать ненадежный код с добавленными в белый список встроенными модулями Node.js. В версиях до версии 3.9.11 злоумышленник может обойти защиту песочницы, чтобы получить права на удаленное выполнение кода на хосте, на котором запущена песочница. Эта уязвимость была исправлена в выпуске версии 3.9.11 vm2. Обходных путей решения проблемы не существует.
CVE-2021-23449Это затрагивает пакет vm2 до версии 3.9.4 через вектор атаки Prototype Pollution, который может привести к выполнению произвольного кода на хост-машине.
CVE-2026-43999vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До 3.11.0 встроенный разрешитель NodeVM может быть обойден, когда включен модуль разрешен (в том числе через wild card '*'). Встроенный модуль обнажает модуль Node._load(), который загружает любой модуль по имени непосредственно в контексте хоста, полностью минуя встроенное ограничение vm2. Это позволяет песочковому коду загружать исключенные встроенные встроенные встроенные встроенные файлы, такие как child_process, и достигать удаленного выполнения кода. Эта уязвимость исправлена в 3.11.0.
CVE-2026-45411vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До 3.11.3 можно поймать исключение хоста, используя экспрессию выходного * внутри генератора асинхрона. Когда генератор закрыт с помощью функции возврата, значение ожидается, и исключения, брошенные в то время вызов, будут пойманы временем выполнения и переданы итератору выходного * в качестве следующего значения. Это позволяет злоумышленникам писать код, который может вырваться из песочницы VM2 и выполнить произвольные команды в системе хоста. Эта уязвимость исправлена в 3.11.3.
CVE-2026-44009vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До 3.1,2 эта уязвимость фиксируется в 3.11.2.
CVE-2026-44008vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До 3.11.2 новый метод нейтрализуетArraySpeciesBatch работает с объектами с другой стороны, но может войти в эту сторону через getter на прототипе массива, выставляя объекты неправильной стороны в песочницу. Это может быть использовано для получения объектов хоста и получения объекта функции хоста. Это позволяет злоумышленникам писать код, который может вырваться из песочницы VM2 и выполнять произвольные команды в системе хоста. Эта уязвимость зафиксирована в пункте 3.11.2.
CVE-2026-26956Выполнение произвольного кода в vm2
CVE-2026-24781Выполнение произвольного кода в vm2
CVE-2026-24120Выполнение произвольного кода в vm2
CVE-2026-24118Выполнение произвольного кода в vm2
CVE-2023-37903vm2 является программным обеспечением с открытым исходным кодом для Node.js. В версиях vm2 до и включая 3.9.19, функция пользовательской проверки Node.js позволяет злоумышленникам покинуть песочницу и выполнить произвольный код. Это может привести к удаленному выполнению кода, если злоумышленник имеет примитив выполнения произвольного кода в контексте песочницы vm2. Нет патчей и известных обходных путей. Пользователям рекомендуется найти альтернативное программное обеспечение.
CVE-2023-37466vm2 - это продвинутая виртуальная машина/песочница для Node.js. Библиотека содержит критические проблемы безопасности и не должна использоваться для производства. Поддержка проекта прекращена. В vm2 для версий до 3.9.19 санитаризацию обработчика `Promise` можно обойти с помощью свойства аксессора `@@species`, что позволяет злоумышленникам выйти из песочницы и запустить произвольный код, потенциально позволяя удаленно выполнять код в контексте песочницы vm2.
CVE-2023-32314vm2 — это песочница, которая может запускать ненадежный код со встроенными модулями Node. В vm2 существует уязвимость выхода из песочницы для версий до 3.9.17 включительно. Она злоупотребляет неожиданным созданием хост-объекта на основе спецификации `Proxy`. В результате злоумышленник может обойти защиту песочницы, чтобы получить права удаленного выполнения кода на хосте, на котором запущена песочница. Эта уязвимость была исправлена в выпуске версии `3.9.18` `vm2`. Пользователям рекомендуется обновиться. Нет известных обходных путей для этой уязвимости.
CVE-2023-30547vm2 — это песочница, которая может запускать ненадежный код с внесенными в белый список встроенными модулями Node. Существует уязвимость в очистке исключений vm2 для версий до 3.9.16, позволяющая злоумышленникам вызывать неочищенное исключение хоста внутри `handleException()`, которое можно использовать для выхода из песочницы и выполнения произвольного кода в контексте хоста. Эта уязвимость была исправлена в выпуске версии `3.9.17` `vm2`. Известные обходные пути для этой уязвимости отсутствуют. Пользователям рекомендуется выполнить обновление.
CVE-2023-29199Существует уязвимость в трансформаторе исходного кода (логика очистки исключений) vm2 для версий до 3.9.15, позволяющая злоумышленникам обходить `handleException()` и утечки неочищенных исключений хоста, которые можно использовать для выхода из песочницы и запуска произвольного кода в контексте хоста. Злоумышленник может обойти защиту песочницы, чтобы получить права на удаленное выполнение кода на хосте, на котором запущена песочница. Эта уязвимость была исправлена в выпуске версии `3.9.16` `vm2`.
CVE-2023-29017vm2 - это песочница, которая может выполнять недоверенный код с белыми списками встроенных модулей Node. До версии 3.9.15 vm2 не обрабатывал правильно объекты хоста, переданные в `Error.prepareStackTrace` в случае необработанных асинхронных ошибок. Угроза могла обойти защиту песочницы и получить права на выполнение удалённого кода на хосте, запускающем песочницу. Эта уязвимость была исправлена в выпуске версии 3.9.15 vm2. Известные обходные решения отсутствуют.
CVE-2022-25893Пакет vm2 версий до 3.9.10 уязвим для Arbitrary Code Execution из-за использования поиска прототипа для метода WeakMap.prototype.set. Эксплуатация этой уязвимости приводит к доступу к хост-объекту и компрометации песочницы.
CVE-2021-23555Пакет vm2 версий до 3.9.6 уязвим для обхода песочницы через прямой доступ к объектам ошибок хоста, сгенерированным внутренними компонентами node во время генерации трассировки стека, что может привести к выполнению произвольного кода на хост-машине.
CVE-2026-44007vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До 3.11.1, когда NodeVM создается с гнездованием: верно, код песочницы может безоговорочно требовать ('vm2) независимо от конфигурации, требующих внешних VM, включая требование: false. С доступом к vm2 песочница создает новый внутренний NodeVM с собственными неограниченной настройкой и выполняет произвольные команды ОС на хоста. Любое приложение, которое запускает ненадежным кодом внутри NodeVM с гнездованием: правда полностью скомпрометирована. Эта уязвимость исправлена в 3.11.1.
CVE-2026-44001vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До 3.11.0 уязвимость выхода из песчаной коробки в vm2 v3.10.5 позволяет любому песочному коду сбивать процесс Host Node.js через один конструктор Promise, который вызывает безудержное отторжение, распространяющее на хост. Исправление для CVE-2026-22709 (v3.10.2) только дезинфицировало onRejected callback in .then() и .catch() и не касалось пути от исполнителя до необращения. Эта уязвимость фиксируется в 3.11.0.