🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma dúzia de vulnerabilidades críticas de segurança foram divulgadas na biblioteca vm2 Node.js que podem ser exploradas por malfeitores para sair da sandbox e executar código arbitrário em sistemas suscetíveis.
vm2 é uma biblioteca de código aberto usada para executar código JavaScript não confiável dentro de uma sandbox segura, interceptando e fazendo proxy de objetos JavaScript para evitar que código em sandbox acesse o ambiente host.
As falhas de segurança estão listadas abaixo -
CVE-2026-24118 (pontuação CVSS: 9,8) – Uma vulnerabilidade que permite o escape da sandbox via "__lookupGetter__" e permite que um invasor execute código arbitrário no host subjacente. (Afeta versões <= 3.10.4, patches em 3.11.0)
CVE-2026-24120 (pontuação CVSS: 9,8) – Um desvio de patch para CVE-2023-37466 (pontuação CVSS: 9,8) que pode permitir que invasores escapem da sandbox por meio da propriedade de espécies de objetos de promessa e executem comandos arbitrários no host subjacente. (Afeta versões <= 3.10.3, corrigidas em 3.10.5)
CVE-2026-24781 (pontuação CVSS: 9,8) – Uma vulnerabilidade que permite o escape da sandbox por meio da função “inspecionar” e permite que um invasor execute código arbitrário no host subjacente. (Afeta versões <= 3.10.3, patches em 3.11.0)
CVE-2026-26332 (pontuação CVSS: 9,8) – Uma vulnerabilidade que permite o escape da sandbox via “SuppressedError” e permite que um invasor execute código arbitrário no host subjacente. (Afeta versões <= 3.10.4, patches em 3.11.0)
CVE-2026-26956 (pontuação CVSS: 9,8) – Uma vulnerabilidade de falha do mecanismo de proteção que permite o escape da sandbox com execução arbitrária de código, acionando um TypeError produzido pela coerção de símbolo para string. (Afeta a versão 3.10.4, confirmada no Node.js 25.6.1, corrigida em 3.10.5)
CVE-2026-43997 (pontuação CVSS: 10,0) – Uma vulnerabilidade de injeção de código que permite que um invasor obtenha o objeto host e escape da sandbox, levando à execução arbitrária de código. (Afeta versões <= 3.10.5, corrigidas em 3.11.0)
CVE-2026-43999 (pontuação CVSS: 9,9) – Uma vulnerabilidade que permite ignorar a lista de permissões integrada do NodeVM e permite que um invasor carregue componentes integrados excluídos, como child_process, e obtenha execução remota de código. (Afeta a versão 3.10.5, corrigida na 3.11.0)
CVE-2026-44005 (pontuação CVSS: 10,0) – Uma vulnerabilidade que permite que o JavaScript controlado pelo invasor escape da sandbox e possibilite a poluição do protótipo. (Afeta as versões 3.9.6-3.10.5, corrigidas em 3.11.0)
CVE-2026-44006 (pontuação CVSS: 10,0) – Uma vulnerabilidade de injeção de código via "BaseHandler.getPrototypeOf" que permite escape de sandbox e execução remota de código. (Afeta versões <= 3.10.5, corrigidas em 3.11.0)
CVE-2026-44007 (pontuação CVSS: 9.1) – Uma vulnerabilidade de controle de acesso impróprio que permite o escape da sandbox e a execução de comandos arbitrários do sistema operacional no host subjacente. (Afeta versões <= 3.11.0, corrigidas em 3.11.1)
CVE-2026-44008 (pontuação CVSS: 9,8) – Uma vulnerabilidade que permite o escape da sandbox por meio de "neutralizeArraySpeciesBatch()" e permite que um invasor execute comandos arbitrários no host subjacente. (Afeta versões <= 3.11.1, corrigidas em 3.11.2)
CVE-2026-44009 (pontuação CVSS: 9,8) – Uma vulnerabilidade que permite o escape da sandbox por meio de uma exceção proto nula e permite que um invasor execute comandos arbitrários no host subjacente. (Afeta versões <= 3.11.1, corrigidas em 3.11.2)
A divulgação ocorre alguns meses depois que o mantenedor do vm2, Patrik Simek, lançou patches para outra falha crítica de escape do sandbox (CVE-2026-22709, pontuação CVSS: 9,8) que pode levar à execução arbitrária de código no sistema host subjacente.
A série de escapes de sandbox recentemente identificados ilustra o desafio de isolar com segurança código não confiável em ambientes de sandbox baseados em JavaScript, com Simek reconhecendo anteriormente que novos desvios provavelmente serão descobertos no futuro. Os usuários do vm2 são aconselhados a atualizar para a versão mais recente (3.11.2) para obter proteção ideal.
vm2 é uma biblioteca de código aberto usada para executar código JavaScript não confiável dentro de uma sandbox segura, interceptando e fazendo proxy de objetos JavaScript para evitar que código em sandbox acesse o ambiente host.
As falhas de segurança estão listadas abaixo -
CVE-2026-24118 (pontuação CVSS: 9,8) – Uma vulnerabilidade que permite o escape da sandbox via "__lookupGetter__" e permite que um invasor execute código arbitrário no host subjacente. (Afeta versões <= 3.10.4, patches em 3.11.0)
CVE-2026-24120 (pontuação CVSS: 9,8) – Um desvio de patch para CVE-2023-37466 (pontuação CVSS: 9,8) que pode permitir que invasores escapem da sandbox por meio da propriedade de espécies de objetos de promessa e executem comandos arbitrários no host subjacente. (Afeta versões <= 3.10.3, corrigidas em 3.10.5)
CVE-2026-24781 (pontuação CVSS: 9,8) – Uma vulnerabilidade que permite o escape da sandbox por meio da função “inspecionar” e permite que um invasor execute código arbitrário no host subjacente. (Afeta versões <= 3.10.3, patches em 3.11.0)
CVE-2026-26332 (pontuação CVSS: 9,8) – Uma vulnerabilidade que permite o escape da sandbox via “SuppressedError” e permite que um invasor execute código arbitrário no host subjacente. (Afeta versões <= 3.10.4, patches em 3.11.0)
CVE-2026-26956 (pontuação CVSS: 9,8) – Uma vulnerabilidade de falha do mecanismo de proteção que permite o escape da sandbox com execução arbitrária de código, acionando um TypeError produzido pela coerção de símbolo para string. (Afeta a versão 3.10.4, confirmada no Node.js 25.6.1, corrigida em 3.10.5)
CVE-2026-43997 (pontuação CVSS: 10,0) – Uma vulnerabilidade de injeção de código que permite que um invasor obtenha o objeto host e escape da sandbox, levando à execução arbitrária de código. (Afeta versões <= 3.10.5, corrigidas em 3.11.0)
CVE-2026-43999 (pontuação CVSS: 9,9) – Uma vulnerabilidade que permite ignorar a lista de permissões integrada do NodeVM e permite que um invasor carregue componentes integrados excluídos, como child_process, e obtenha execução remota de código. (Afeta a versão 3.10.5, corrigida na 3.11.0)
CVE-2026-44005 (pontuação CVSS: 10,0) – Uma vulnerabilidade que permite que o JavaScript controlado pelo invasor escape da sandbox e possibilite a poluição do protótipo. (Afeta as versões 3.9.6-3.10.5, corrigidas em 3.11.0)
CVE-2026-44006 (pontuação CVSS: 10,0) – Uma vulnerabilidade de injeção de código via "BaseHandler.getPrototypeOf" que permite escape de sandbox e execução remota de código. (Afeta versões <= 3.10.5, corrigidas em 3.11.0)
CVE-2026-44007 (pontuação CVSS: 9.1) – Uma vulnerabilidade de controle de acesso impróprio que permite o escape da sandbox e a execução de comandos arbitrários do sistema operacional no host subjacente. (Afeta versões <= 3.11.0, corrigidas em 3.11.1)
CVE-2026-44008 (pontuação CVSS: 9,8) – Uma vulnerabilidade que permite o escape da sandbox por meio de "neutralizeArraySpeciesBatch()" e permite que um invasor execute comandos arbitrários no host subjacente. (Afeta versões <= 3.11.1, corrigidas em 3.11.2)
CVE-2026-44009 (pontuação CVSS: 9,8) – Uma vulnerabilidade que permite o escape da sandbox por meio de uma exceção proto nula e permite que um invasor execute comandos arbitrários no host subjacente. (Afeta versões <= 3.11.1, corrigidas em 3.11.2)
A divulgação ocorre alguns meses depois que o mantenedor do vm2, Patrik Simek, lançou patches para outra falha crítica de escape do sandbox (CVE-2026-22709, pontuação CVSS: 9,8) que pode levar à execução arbitrária de código no sistema host subjacente.
A série de escapes de sandbox recentemente identificados ilustra o desafio de isolar com segurança código não confiável em ambientes de sandbox baseados em JavaScript, com Simek reconhecendo anteriormente que novos desvios provavelmente serão descobertos no futuro. Os usuários do vm2 são aconselhados a atualizar para a versão mais recente (3.11.2) para obter proteção ideal.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #vulnerabilidades #da #biblioteca #vm2 #node.js #permitem #escape #de #sandbox #e #execução #de #código #arbitrário
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário