PT-2026-45021 · Npm · Vm2
Publicado
2026-05-29
·
Atualizado
2026-06-12
·
CVE-2026-47131
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
vm2 versões anteriores a 3.11.4
Description
Existe uma fuga de sandbox que permite a atacantes executar código arbitrário no sistema anfitrião. Isso é alcançado combinando
Buffer.call.call({}. lookupGetter , Buffer, " proto "), Buffer.call.call({}. lookupSetter , Buffer, " proto ") e o erro ERR INVALID ARG TYPE do Node.js para obter o construtor TypeError do anfitrião.Recommendations
Atualize para a versão 3.11.4.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vm2