停止維護兩年後vm2原作者重啟專案，修補CVE-2026-22709等重大沙箱逃逸漏洞

漏洞簡介

Node.js生態系常用的JavaScript沙箱函式庫vm2，被揭露存在重大沙箱逃逸漏洞CVE-2026-22709。該漏洞CVSS風險分數高達9.8分，屬於重大（Critical）風險等級。

攻擊方式

攻擊者可藉由特定JavaScript程式碼觸發漏洞，繞過vm2原本設計的沙箱限制，並在宿主環境中執行任意程式碼。

專案更新動態

vm2維護團隊於2025年10月正式重啟停止更新近兩年的專案，陸續修補數個已知重大資安漏洞，其中包括最新揭露的沙箱逃逸漏洞CVE-2026-22709。

修補版本建議

維護團隊建議使用者升級至vm2 3.10.3或更新版本，以降低遭濫用風險。

相關技術細節

根據技術分析，CVE-2026-22709漏洞允許攻擊者繞過Promise callback的清理機制，並在沙箱外執行任意程式碼，此行為可導致遠端命令執行（RCE）。

來源：https://www.ithome.com.tw/news/173837