CVE-2026-43997— vm2 代码注入漏洞

vm2: Sandbox Escape

vm2 is an open source vm/sandbox for Node.js. Prior to 3.11.0, it is possible to obtain the host Object. There are various ways to use the host Object, to escape the sandbox, one example would be using HostObject.getOwnPropertySymbols to obtain Symbol(nodejs.util.inspect.custom). This vulnerability is fixed in 3.11.0.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

对生成代码的控制不恰当(代码注入)

vm2 代码注入漏洞

vm2是捷克Patrik Simek个人开发者的一个 Node.js 的高级虚拟机/沙盒。以使用列入白名单的 Node 内置模块运行不受信任的代码。 vm2 3.11.0之前版本存在代码注入漏洞，该漏洞源于可能获取宿主Object对象，允许通过多种方式利用宿主Object逃逸沙箱。

N/A

N/A