CVE-2026-44003 in vm2Информация

Сводка

по VulDB • 22.05.2026

vm2 — это open-source виртуальная машина/песочница для Node.js. До версии 3.11.0 трансформатор кода в vm2 содержит оптимизацию производительности, которая пропускает анализ AST, если код не содержит ключевых слов catch, import или async. Обход этого быстрого пути позволяет коду в песочнице напрямую обращаться к внутренней переменной VM2_INTERNAL_STATE_DO_NOT_USE_OR_PROGRAM_WILL_FAIL, что приводит к раскрытию внутренних функций безопасности (handleException, wrapWith, import). Уязвимость исправлена в версии 3.11.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

04.05.2026

Раскрытие

13.05.2026

Модерация

принято

Вход

VDB-363670

CPE

готов

CWE

CWE-693 (Подтверждённый)

CVSS

5.3 (CNA)

EPSS

0.00049

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44003
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44003
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44003/

◂ Предыдущий Обзор Далее ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!