Node.js沙箱函式庫vm2繼WASM沙箱逃逸後,再修NodeVM巢狀執行設定漏洞
漏洞概要
Node.js沙箱函式庫vm2近期被發現存在多項關鍵沙箱逃逸漏洞,攻擊者可藉此突破執行環境限制,直接在宿主系統上執行任意命令。
主要漏洞與修補資訊
- CVE-2026-26956:在vm2 3.10.4版本中發現重大沙箱逃逸漏洞,攻擊者若控制VM.run()執行惡意程式碼,可能取得主機端程序並執行命令。官方已於3.10.5版本修補。
- CVE-2026-22709:影響3.10.0(含)以前版本,可讓攻擊者繞過沙箱、在宿主環境執行任意程式碼。官方建議立即升級至vm2 3.10.3以上版本。
- vm2庫因長期未維護,導致安全風險增加,原作者已重啟專案並釋出修補版本。
安全建議
使用者應立即升級至vm2 3.10.5或更高版本,以確保執行環境安全。同時,建議評估是否改用其他更穩健的沙箱方案。