CVE-2026-44005 in vm2información

Resumen

por VulDB • 2026-05-13

vm2 es una máquina virtual (vm)/entorno de aislamiento (sandbox) de código abierto para Node.js. Desde la versión 3.9.6 hasta la 3.10.5, el puente de vm2 expone proxies mutables para los prototipos intrínsecos reales del ámbito del host y luego reenvía las escrituras de la sandbox a los objetos subyacentes del host mediante `otherReflectSet()` y `otherReflectDefineProperty()`, lo que permite que JavaScript controlado por el atacante, ejecutado en una VM predeterminada o en un NodeVM heredado, mutar `Object.prototype`, `Array.prototype` y `Function.prototype` compartidos desde dentro de la sandbox. Esta vulnerabilidad está corregida en la versión 3.11.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-04

Divulgación

2026-05-13

Moderación

aceptado

Artículo

VDB-363671

CPE

listo

CWE

CWE-1321 (confirmado)

CVSS

10.0 (CNA)

EPSS

0.00108

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44005
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44005
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44005/

◂ Anterior Visión De Conjunto Próximo ▸

Want to know what is going to be exploited?

We predict KEV entries!