CVE-2026-24118

Nome do Software Vulnerável e Versões Afetadas vm2 versões anteriores a 3.11.0

Descrição O vm2 é um sandbox de código aberto para Node.js que contém um problema de evasão de sandbox causado pelo gerenciamento incorreto da geração de código. Isso permite que invasores ignorem o isolamento do sandbox JavaScript e executem comandos arbitrários no sistema host. O problema decorre do método lookupGetter, que pode alternar entre as versões do host e do sandbox quando passado para outro contexto. Ao usar o método apply do host via Buffer.apply, um invasor pode acessar getters no contexto do host. Esse processo permite a recuperação do objeto Function.prototype do host e a Function do host através da propriedade constructor, permitindo a criação e execução de código no contexto do host. Tentativas de mitigar isso usando Object.getOwnPropertyDescriptor para acessar a propriedade constructor podem burlar correções anteriores.

Recomendações Atualizar para a versão 3.11.0.