CVE-2026-44004

Nome do Software Vulnerável e Versões Afetadas vm2 versões anteriores a 3.11.0

Description Código em sandbox pode chamar a função Buffer.alloc() com um tamanho arbitrário para alocar memória diretamente no heap do host. Como o Buffer.alloc() é uma chamada nativa síncrona de C++, a opção timeout não consegue interromper a execução. Isso permite que uma única requisição esgote a memória do host, levando ao travamento do processo com um FATAL ERROR: Reached heap limit. O problema ocorre porque o objeto Buffer é exposto à sandbox através do objeto HOST, e o proxy de ponte em lib/bridge.js repassa essas chamadas ao host sem validação de tamanho.

Recommendations Atualizar para a versão 3.11.0.