PT-2026-38390 · Npm · Vm2
Bugbunny-Research
·
Publicado
2026-05-01
·
Atualizado
2026-06-10
·
CVE-2026-43999
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
vm2 versões anteriores a 3.11.0
Descrição
A lista de permissões (allowlist) de integrados do NodeVM pode ser burlada quando o integrado
module é permitido, inclusive quando o caractere curinga * é utilizado. O integrado module expõe a função Module. load() do Node, que carrega qualquer módulo pelo nome diretamente no contexto do host, ignorando completamente as restrições. Isso permite que o código em sandbox carregue módulos integrados excluídos, como o child process, resultando em execução remota de código no sistema host.Recomendações
Atualize para a versão 3.11.0.
Como medida paliativa temporária, exclua explicitamente o integrado
module da configuração da lista de permissões para evitar que o código em sandbox acesse a função Module. load().Exploit
Correção
RCE
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vm2