CVE-2026-47137

Nome do Software Vulnerável e Versões Afetadas vm2 versões anteriores a 3.11.4

Descrição Uma verificação de segurança em nodevm.js projetada para bloquear a combinação de nesting: true e require: false é ignorada porque utiliza igualdade estrita (options.require === false). Se a opção require for omitida, options.require torna-se undefined, fazendo com que a verificação falhe. Posteriormente, uma atribuição padrão de desestruturação define requireOpts = false, resultando na configuração restrita. Isso permite que um invasor executando código dentro de um sandbox NodeVM({ nesting: true }) obtenha Execução Remota de Código (RCE) total no sistema host, solicitando a biblioteca vm2 e construindo um NodeVM interno com acesso ao child process.execSync para executar comandos arbitrários do sistema operacional.

Recomendações Atualize para a versão 3.11.4 ou posterior.