CVE-2026-44003

Nome do Software Vulnerável e Versões Afetadas vm2 versões anteriores a 3.11.0

Descrição Uma otimização de desempenho no transformador de código ignora a análise AST (Abstract Syntax Tree) quando o código não contém as palavras-chave catch, import ou async. Esse bypass de caminho rápido permite que o código em sandbox acesse diretamente a variável interna VM2 INTERNAL STATE DO NOT USE OR PROGRAM WILL FAIL, expondo funções de segurança internas, incluindo handleException(), wrapWith() e import(). Isso ocorre porque o visitante AST projetado para bloquear o acesso ao estado interno e a instrumentação para instruções with são ignorados quando a verificação de regex não é acionada.

Recomendações Atualizar para a versão 3.11.0.