CVE-2026-22709

Nome do Software Vulnerável e Versões Afetadas Versões do vm2 anteriores à 3.10.2

Descrição O vm2 é uma biblioteca Node.js utilizada para criar ambientes sandbox para executar código não confiável. Existe uma falha em versões anteriores à 3.10.2 na qual a sanitização dos callbacks de Promise.prototype.then e Promise.prototype.catch pode ser contornada. Especificamente, enquanto a função de callback de localPromise.prototype.then é sanitizada, globalPromise.prototype.then não é. Como funções assíncronas retornam um objeto globalPromise, isso permite que atacantes escapem do sandbox e executem código arbitrário no sistema hospedeiro. A vulnerabilidade pode ser explorada mediante a criação de código JavaScript malicioso que utilize o objeto globalPromise não sanitizado para obter acesso aos recursos do sistema hospedeiro, como executar comandos por meio de child process.

Recomendações Atualize para a versão 3.10.2 ou posterior do vm2 para corrigir esta vulnerabilidade.