Report
CVE-2026-47208 Kritisch

vm2 (Node.js) – Sandbox-Ausbruch vor Version 3.11.4

Kennzahlen

CVSS-Basiswert
10.0
EPSS
0.51%
Veröffentlicht
Aktualisiert
Quelle
NVD

Beschreibung

vm2 ist eine quelloffene VM- bzw. Sandbox-Umgebung für Node.js. In Versionen vor 3.11.4 besteht eine Sandbox-Breakout-Schwachstelle: Angreifer können Code schreiben, der aus der vm2-Sandbox ausbricht. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – mit Scope-Wechsel, was für einen Sandbox-Ausbruch charakteristisch ist. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Update auf vm2 3.11.4 oder neuer; Anwendungen, die nicht vertrauenswürdigen Code in vm2 ausführen, sind besonders exponiert.

Changelog

  1. 2026-07-14 · zuletzt

    • Report neu erstellt.

Automatisch aus dem Vergleich der Datenstände erzeugt (CVSS, Schweregrad, KEV-Status, Ransomware, betroffene Produkte, EPSS-Sprünge ab 5 Prozentpunkten). Nicht redaktionell verfasst.

Betroffene Produkte

Quellen und Referenzen

Weitere Schwachstellen in Node.js

Alle Reports zu Node.js

Feed folgen, kostenlos

Priorisierte Schwachstellen per RSS sofort verfolgen, frei zugänglich und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage.

RSS-Feed öffnen Zustellung anfragen

Über diesen Report

  • Priorisierung nach KEV-Status, EPSS-Score und CVSS-Basiswert.
  • Stündliche Aktualisierung durch die Threat-Intelligence-Pipeline.
  • NIS2/CRA-relevante Produkte im DACH-Markt.