CSIRT Toscana PoC pubblici per vulnerabilità nella libreria vm2 per Node-js (AL05/260508/CSIRT-ITA)
Data:
8 Maggio 2026
Impatto Sistemico
Critico (75.38)
Sintesi
Aggiornamenti di sicurezza sanano 12 nuove vulnerabilità, con gravità “critica” e per le quali risultano disponibili PoC pubblici, nella libreria open-source ‘vm2’, componente di Node.js usato per eseguire codice JavaScript all’interno di una “sandbox” sicura. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un attaccante di evadere la sandbox consentendo l’esecuzione di comandi arbitrari direttamente sul sistema ospitante.
Tipologia
- Remote Code Execution
- Arbitrary Code Execution
- Security Feature Bypass
- Security Restrictions Bypass
- Elevation of Privilege
- Privilege Escalation
Prodotti e versioni affette
vm2
- versioni precedenti alla 3.10.5
- 3.11.x, versioni precedenti alla 3.11.1
Azioni di mitigazione
Si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni fornite dallo sviluppatore e disponibili ai link nella sezione Riferimenti.
Riferimenti
- https://github.com/patriksimek/vm2/security/advisories/GHSA-47×8-96vw-5wg6
- https://github.com/patriksimek/vm2/security/advisories/GHSA-947f-4v7f-x2v8
- https://github.com/patriksimek/vm2/security/advisories/GHSA-vwrp-x96c-mhwq
- https://github.com/patriksimek/vm2/security/advisories/GHSA-qcp4-v2jj-fjx8
- https://github.com/patriksimek/vm2/security/advisories/GHSA-8hg8-63c5-gwmx
- https://github.com/patriksimek/vm2/security/advisories/GHSA-9qj6-qjgg-37qq
- https://github.com/patriksimek/vm2/security/advisories/GHSA-9vg3-4rfj-wgcm
- https://github.com/patriksimek/vm2/security/advisories/GHSA-grj5-jjm8-h35p
- https://github.com/patriksimek/vm2/security/advisories/GHSA-qvjj-29qf-hp7p
- https://github.com/patriksimek/vm2/security/advisories/GHSA-v37h-5mfm-c47c
- https://github.com/patriksimek/vm2/security/advisories/GHSA-55hx-c926-fr95
- https://github.com/patriksimek/vm2/security/advisories/GHSA-ffh4-j6h5-pg66
CVE
| CVE-ID | |||
|---|---|---|---|
| CVE-2026-43997 | CVE-2026-44008 | CVE-2026-44009 | CVE-2026-24118 |
| CVE-2026-43999 | CVE-2026-26956 | CVE-2026-44005 | CVE-2026-44006 |
| CVE-2026-44007 | CVE-2026-24120 | CVE-2026-24781 | CVE-2026-26332 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 08-05-2026 | 08/05/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
8 Maggio 2026, 19:11