CVE-2026-44007

Nome do Software Vulnerável e Versões Afetadas vm2 versões anteriores a 3.11.1

Descrição Quando um NodeVM é criado com a variável nesting definida como true, o código do sandbox pode usar incondicionalmente require('vm2'), independentemente da configuração de require da VM externa, inclusive quando o require está definido como false. Isso ocorre porque a opção nesting: true interage com o resolvedor de módulos legado de uma forma que anula silenciosamente as restrições. Um invasor pode usar o acesso ao vm2 para construir um novo NodeVM interno com configurações de require irrestritas para executar comandos arbitrários do SO no host. Este problema afeta aplicações que executam código não confiável dentro de um NodeVM com nesting: true, como plataformas de execução de código multi-tenant, serviços de notebook/REPL, sistemas de plugins e ferramentas de sandboxing de CI.

Recomendações Atualize para a versão 3.11.1. Como medida paliativa temporária, evite definir a variável nesting como true ao executar código não confiável.