CVE-2026-24120

Nome do Software Vulnerável e Versões Afetadas vm2 versões anteriores a 3.10.5

Descrição Uma correção insuficiente na implementação do sandbox permite que invasores ignorem as restrições de segurança, possibilitando a evasão do sandbox VM2 e a execução de comandos arbitrários no sistema host. Isso ocorre porque a função resetPromiseSpecies(), destinada a redefinir a propriedade species de objetos de promessa, depende de [].includes e Object.defineProperty. Essas funções podem ser sobrescritas para impedir que a propriedade seja alterada, levando à execução remota de código caso um invasor consiga executar código arbitrário dentro do contexto do sandbox.

Recomendações Atualizar para a versão 3.10.5.