Node.js沙箱函式庫vm2再爆重大逃逸漏洞
漏洞概述
Node.js常見的JavaScript沙箱函式庫vm2,近期再次曝出重大沙箱逃逸漏洞(CVE-2026-26956),攻擊者若能將經過特殊設計的程式碼交由VM.run()執行,即可跳出沙箱限制,並在主機環境中執行任意命令。
影響範圍與修補資訊
- 受影響版本:vm2 3.10.4
- 修補版本:vm2 3.10.5 或更新版本
- 漏洞嚴重性等級:重大(CVSS v3.1 分數為 9.8)
相關技術細節
根據GitHub安全公告與多個技術平臺報導,該漏洞源自vm2在處理特定程式碼執行時的機制缺陷,攻擊者可透過精心設計的輸入,繞過沙箱保護機制,進而執行主機上的指令。
相關PoC片段與poc.js檔案已公開於GitHub,供安全研究者與開發者驗證與分析。
維護狀態與後續發展
vm2專案在經歷近兩年停止維護後,於2025年10月由維護團隊正式重啟,並陸續修補多項重大資安漏洞,包括本次CVE-2026-26956。
建議與行動
建議所有使用vm2的開發者,立即升級至vm2 3.10.5或更高版本,以確保系統安全。