CVE-2026-44005 in vm2المعلومات

الملخص

بحسب VulDB • 13/05/2026

vm2 هو مكتبة مفتوحة المصدر لإنشاء آلات افتراضية (VM) وبيئات معزولة (sandbox) لنظام Node.js. من الإصدار 3.9.6 إلى 3.10.5، تعرض واجهة الربط (bridge) الخاصة بـ vm2 كائنات Proxy قابلة للتعديل لبروتوتيبات الجوهر (intrinsic prototypes) الخاصة ببيئة المضيف الحقيقية، ثم تعيد توجيه عمليات الكتابة القادمة من داخل الـ sandbox إلى كائنات المضيف الأساسية باستخدام `otherReflectSet()` و`otherReflectDefineProperty()`، مما يتيح لمهاجم يمكنه التحكم في كود JavaScript يعمل داخل آلة افتراضية افتراضية أو داخل `NodeVM` مُورَّث، تعديل `Object.prototype` و`Array.prototype` و`Function.prototype` المشتركة من داخل الـ sandbox. تم إصلاح هذا الثغرة الأمنية في الإصدار 3.11.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

04/05/2026

إفشاء

13/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363671

CPE

جاهز

CWE

CWE-1321 (مؤكد)

CVSS

10.0 (CNA)

EPSS

0.00108

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44005
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44005
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44005/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!