CVE-2026-47135

Nome do Software Vulnerável e Versões Afetadas vm2 versões anteriores a 3.11.4

Description Existe um problema onde a sobreposição do Symbol.for em setup-sandbox.js intercepta apenas uma pequena parte dos símbolos perigosos de cross-realm do Node.js. Isso é agravado pelo fato de as traps set(), defineProperty() e deleteProperty() da bridge não possuírem uma verificação de chave isDangerousCrossRealmSymbol. Consequentemente, o código do sandbox pode obter símbolos reais de cross-realm e escrevê-los em objetos do host para controlar o comportamento do lado do host. Isso foi verificado por meio de uma cadeia de sequestro de util.promisify, onde valores controlados pelo sandbox são retornados ao host. Além disso, isso permite confusão semântica em relação às verificações de tipo de stream do host e internos do WebStream para qualquer objeto do host não congelado exposto ao sandbox, potencialmente ignorando a validação de entrada do lado do host.

Recommendations Atualize para a versão 3.11.4. Como medida paliativa temporária, restrinja a exposição de objetos do host não congelados ao sandbox para minimizar o risco de manipulação de propriedades baseada em símbolos.