CVE-2026-43998

Nome do Software Vulnerável e Versões Afetadas vm2 versões anteriores a 3.11.0

Descrição A restrição de caminho require.root do NodeVM pode ser burlada usando links simbólicos (symlinks) do sistema de arquivos, permitindo que o código em sandbox carregue módulos de fora do diretório raiz permitido no contexto do host. Isso ocorre porque a validação do caminho utiliza path.resolve(), que não desreferencia links simbólicos, enquanto o carregamento de módulos utiliza a função require() nativa do Node, que o faz. Um invasor pode explorar essa discrepância para carregar módulos arbitrários do reino do host e alcançar a execução remota de código. O problema está localizado especificamente nas funções isPathAllowed() e loadJS() em lib/resolver-compat.js, e na função resolve() em lib/filesystem.js.

Recomendações Atualize para a versão 3.11.0. Como medida paliativa temporária, restrinja o uso de links simbólicos no diretório raiz permitido para evitar o carregamento não autorizado de módulos.