CVE-2026-43998 in vm2정보

요약

\~에 의해 VulDB • 2026. 05. 13.

vm2는 Node.js용 오픈 소스 VM/샌드박스입니다. 버전 3.10.5에서 NodeVM의 require.root 경로 제한은 파일시스템 심볼릭 링크를 사용하여 우회될 수 있으며, 이를 통해 샌드박스화된 코드가 호스트 컨텍스트에서 허용된 루트 디렉토리 외부의 모듈을 로드할 수 있습니다. 경로 검증은 심볼릭 링크를 역참조하지 않는 path.resolve()를 사용하지만 모듈 로딩은 이를 역참조하는 Node의 네이티브 require()를 사용하므로, 공격자는 임의의 호스트 레이어 모듈을 로드하여 원격 코드 실행(RCE)을 달성할 수 있습니다. 이 취약점은 버전 3.11.0에서 수정되었습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

GitHub M

예약하다

2026. 05. 04.

공개

2026. 05. 13.

모더레이션

수락

항목

VDB-363664

CPE

준비됨

CWE

CWE-59 (확인됨)

CVSS

8.5 (CNA)

EPSS

0.00284

KEV

아니요

활동

매우 낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43998
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43998
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43998/

◂ 이전 개요 다음 ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!