CVE-2026-44002 in vm2المعلومات

الملخص

بحسب VulDB • 13/05/2026

vm2 هو بيئة افتراضية/صندوق رملي (sandbox) مفتوح المصدر لنظام Node.js. قبل الإصدار 3.11.0، كانت فئة غلاف CallSite في vm2 (المقصودة كغلاف آمن لـ CallSite الأصلي في V8) تحجب دالتي getThis() و getFunction() لمنع تسرب كائنات المضيف، لكنها تسمح لـ getFileName() بإرجاع مسارات مطلقة للمضيف غير مُنظَّفة. يمكن لأي رمز محصور في الصندوق الرملي استخراج الهيكل الكامل للأدلة، ومسارات المكتبات، وإصدارات إطار العمل الخاص بخادم المضيف. تم إصلاح هذا الثغرة في الإصدار 3.11.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

04/05/2026

إفشاء

13/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363673

CPE

جاهز

CWE

CWE-209 (مؤكد)

CVSS

5.8 (CNA)

EPSS

0.00036

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44002
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44002
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44002/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!