CVE-2026-47140

Nome do Software Vulnerável e Versões Afetadas vm2 versões anteriores a 3.11.4

Descrição Falhas de escape de sandbox no NodeVM permitem a execução remota de código não autenticada no servidor host. O problema ocorre porque a lista de negação de builtins perigosos em lib/builtin.js omite process e inspector/promises. Isso permite que o código no sandbox ignore as restrições e acesse primitivas de execução do lado do host de duas maneiras: utilizando require('process').getBuiltinModule('child process') para recarregar o child process mesmo quando excluído, ou utilizando require('inspector/promises') para expor o protocolo Inspector e chamar Runtime.evaluate no processo host. Isso afeta aplicações que permitem process, inspector/promises ou o caractere curinga * em require.builtin.

Recomendações Atualize para a versão 3.11.4. Como medida paliativa temporária, restrinja o uso dos módulos process e inspector/promises ou do caractere curinga * na configuração de require.builtin.