CVE-2026-44001

Nome do Software Vulnerável e Versões Afetadas vm2 versões anteriores a 3.11.0

Descrição Uma fuga de sandbox permite que o código isolado trave o processo host do Node.js. Isso ocorre quando um construtor de Promise dispara uma rejeição não tratada (unhandled rejection) que se propaga para o host. Especificamente, quando o código no sandbox cria uma Promise na qual o executor define Error.name como um Symbol() e então acessa .stack, a função interna FormatStackTrace do V8 tenta executar Symbol.toString(), lançando um TypeError no reino do host. Como o executor da Promise não está envolvido em um bloco try-catch em lib/setup-sandbox.js, e as sobreposições de .then() e .catch() não interceptam rejeições originadas do executor, o erro torna-se uma rejeição não tratada que encerra o processo host. Isso resulta em uma Negação de Serviço (DoS), onde uma única requisição pode travar todo o servidor. Configurar allowAsync: false não previne isso e pode agravar o problema ao bloquear chamadas ao método .catch(), garantindo que a rejeição permaneça não tratada.

Recomendações Atualize para a versão 3.11.0 ou posterior.