В библиотеке vm2 для Node.js нашли критические уязвимости

Владимир ИТ

07.05.2026

131 1 мин
#nodejs

В библиотеке vm2 обнаружили 12 критических уязвимостей, которые позволяют выйти из песочницы и выполнить произвольный код на хост-системе.

vm2 — это open-source библиотека для запуска недоверенного JavaScript-кода в изолированной среде. Она использует перехват и проксирование JavaScript-объектов, чтобы ограничить доступ к окружению хоста.

Среди выявленных проблем:

  • CVE-2026-24118 — выход из песочницы через "lookupGetter". Затрагивает версии до 3.10.4 включительно, исправлена в 3.11.0.

  • CVE-2026-24120 — обход исправления для CVE-2023-37466 через свойство species объектов Promise. Затрагивает версии до 3.10.3, исправлена в 3.10.5.

  • CVE-2026-24781 — выход из песочницы через функцию inspect. Исправление добавлено в 3.11.0.

  • CVE-2026-26332 — эксплуатация через SuppressedError. Исправлена в 3.11.0.

  • CVE-2026-26956 — ошибка в механизме защиты при приведении Symbol к строке, позволяющая выполнить код на хосте. Исправлена в 3.10.5.

  • CVE-2026-43997 — инъекция кода с получением доступа к host Object и выходом из песочницы. Исправлена в 3.11.0.

  • CVE-2026-43999 — обход allowlist в NodeVM с возможностью загрузки запрещённых модулей вроде child_process и удалённого выполнения команд. Исправлена в 3.11.0.

  • CVE-2026-44005 — выход из песочницы и prototype pollution через управляемый JavaScript-код. Исправлена в 3.11.0.

  • CVE-2026-44006 — инъекция кода через BaseHandler.getPrototypeOf. Исправлена в 3.11.0.

  • CVE-2026-44007 — ошибка контроля доступа, позволяющая выполнять команды ОС на хосте. Исправлена в 3.11.1.

  • CVE-2026-44008 — выход из песочницы через neutralizeArraySpeciesBatch(). Исправлена в 3.11.2.

  • CVE-2026-44009 — эксплуатация через null proto exception. Исправлена в 3.11.2.

Большинство уязвимостей получили оценку CVSS 9.8 или выше. Некоторые из них имеют максимальный рейтинг 10.0.

Раскрытие информации произошло спустя несколько месяцев после устранения другой критической проблемы CVE-2026-22709, которая также позволяла выйти из песочницы и выполнить произвольный код на хосте.

Поддерживающий проект разработчик Патрик Симек ранее уже отмечал, что в будущем могут появляться новые способы обхода защиты vm2. Пользователям библиотеки рекомендовали обновиться до версии 3.11.2.

Источник: HN

Похожие статьи

Рекомендательные технологии Подробнее
Кибербезопасность 4 месяца назад

Вредоносные расширения ClawHub для OpenClaw: обнаружено 341 модуль

Крупное исследование безопасности обнаружило 341 вредоносное расширение в каталоге ClawHub для ИИ-ассистента OpenClaw. Злоумышленники использовали социальную инженерию и скрытые загрузки для распространения инфостилеров и похищения данных.

Владимир ИТ
220 0 1 мин
#openclaw
Кибербезопасность 4 месяца назад

Хакеры используют уязвимость Metro4Shell для удалённого выполнения кода в React Native

Критическая уязвимость Metro4Shell в React Native, которую уже активно используют хакеры для удалённого выполнения кода. Рассматриваются механизм атаки, реальные примеры эксплуатации и меры защиты для разработчиков.

Владимир ИТ
186 0 1 мин
#vulnerability #react
Кибербезопасность 3 месяца назад

Уязвимость в Ubuntu позволяет получить root-доступ через очистку системы

В Ubuntu обнаружена критическая уязвимость CVE-2026-3888, позволяющая получить root-доступ через механизм очистки временных файлов. Разбираем, как работает атака и какие системы под угрозой.

Владимир ИТ
176 0 1 мин
#ubuntu
Кибербезопасность 1 месяц назад

Python-бэкдор DEEP#DOOR с туннелированием и кражей данных

DEEP#DOOR — скрытый Python-бэкдор, использующий туннелирование для управления и кражи данных. Он обеспечивает устойчивый доступ, обход защит и извлечение учётных данных из системы и облаков.

Владимир ИТ
102 0 1 мин
#python #vulnerability