CVE-2026-44005 in vm2informação

Sumário

de VulDB • 18/05/2026

vm2 é uma máquina virtual/sandbox de código aberto para Node.js. Da versão 3.9.6 à 3.10.5, o bridge do vm2 expõe proxies mutáveis para protótipos intrínsecos reais do host-realm e, em seguida, encaminha as gravações da sandbox para os objetos subjacentes do host por meio de otherReflectSet() e otherReflectDefineProperty(), o que permite que JavaScript controlado pelo atacante, executado em uma VM padrão ou em um NodeVM herdado, mutar o Object.prototype, Array.prototype e Function.prototype compartilhados de dentro da sandbox. Esta vulnerabilidade foi corrigida na versão 3.11.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

04/05/2026

Divulgação

13/05/2026

Moderação

aceite

Entrada

VDB-363671

CPE

pronto

CWE

CWE-1321 (confirmado)

CVSS

10.0 (CNA)

EPSS

0.00108

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44005
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44005
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44005/

◂ Voltar Visão Geral Próximo ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!