vm2Node.js库漏洞可导致沙箱逃逸和任意代码执行

admin
admin
admin
0
文章
0
评论
2026-05-08 04:54:00 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档披露了vm2Node.js库中存在的十多个高危安全漏洞(包括CVE-2026-24118、CVE-2026-44007等),攻击者可利用这些漏洞实现沙箱逃逸并在主机系统上执行任意代码。关键发现包括通过lookupGetter、Promise物种属性、inspect函数等多种方式绕过沙箱防护。建议用户立即升级至vm23.11.2版本以获得完整防护。 综合评分: 89 文章分类: 漏洞分析,安全工具,漏洞预警,解决方案,WEB安全

cover_image

vm2 Node.js 库漏洞可导致沙箱逃逸和任意代码执行

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月7日 12:38 北京

在小说阅读器读本章

去阅读

vm2 Node.js 库中披露了十几个严重的安全漏洞,恶意行为者可以利用这些漏洞突破沙箱,并在易受攻击的系统上执行任意代码。

vm2 是一个开源库,它通过拦截和代理 JavaScript 对象,防止沙箱中的代码访问主机环境,从而在安全的沙箱中运行不受信任的 JavaScript 代码。

安全漏洞如下:

  • CVE-2026-24118(CVSS评分:9.8)- 此漏洞允许攻击者通过“__lookupGetter__”逃逸沙箱,并在底层主机上运行任意代码。(影响版本 <= 3.10.4,已在 3.11.0 中修复)
  • CVE-2026-24120(CVSS评分:9.8)——此漏洞可绕过CVE-2023-37466(CVSS评分:9.8)的补丁,攻击者可能利用Promise对象的species属性绕过沙箱,并在底层主机上执行任意命令。(影响版本<= 3.10.3,已在3.10.5中修复)
  • CVE-2026-24781(CVSS评分:9.8)——此漏洞允许攻击者通过“inspect”函数逃逸沙箱,并在底层主机上运行任意代码。(影响版本 <= 3.10.3,已在 3.11.0 中修复)
  • CVE-2026-26332(CVSS评分:9.8)- 此漏洞允许攻击者通过“SuppressedError”逃逸沙箱,并在底层主机上运行任意代码。(影响版本 <= 3.10.4,已在 3.11.0 中修复)
  • CVE-2026-26956(CVSS评分:9.8)- 此漏洞利用了保护机制的失效,允许攻击者通过触发符号到字符串强制转换产生的TypeError来逃逸沙箱并执行任意代码。(影响版本3.10.4,已在Node.js 25.6.1上确认,已在3.10.5中修复)
  • CVE-2026-43997(CVSS评分:10.0)——此漏洞为代码注入漏洞,攻击者可利用此漏洞获取宿主对象并逃逸沙箱,从而执行任意代码。(影响版本 <= 3.10.5,已在 3.11.0 中修复)
  • CVE-2026-43999(CVSS评分:9.9)——此漏洞允许绕过NodeVM的内置允许列表,使攻击者能够加载诸如child_process之类的被排除在外的内置函数,从而实现远程代码执行。(影响版本3.10.5,已在3.11.0中修复)
  • CVE-2026-44005(CVSS评分:10.0)——此漏洞允许攻击者控制的JavaScript代码逃逸沙箱,从而污染原型。(影响版本3.9.6-3.10.5,已在3.11.0中修复)
  • CVE-2026-44006(CVSS评分:10.0)- 通过“BaseHandler.getPrototypeOf”注入代码的漏洞,可使攻击者逃逸沙箱并执行远程代码。(影响版本 <= 3.10.5,已在 3.11.0 中修复)
  • CVE-2026-44007(CVSS评分:9.1)- 访问控制不当漏洞,允许攻击者逃逸沙箱并在底层主机上执行任意操作系统命令。(影响版本 <= 3.11.0,已在 3.11.1 中修复)
  • CVE-2026-44008(CVSS评分:9.8)- 此漏洞允许攻击者通过“neutralizeArraySpeciesBatch()”函数逃逸沙箱,并允许攻击者在底层主机上执行任意命令。(影响版本 <= 3.11.1,已在 3.11.2 中修复)
  • CVE-2026-44009(CVSS评分:9.8)- 此漏洞允许攻击者通过空proto异常逃逸沙箱,并允许攻击者在底层主机上执行任意命令。(影响版本 <= 3.11.1,已在3.11.2中修复)

此次披露发生在 vm2 维护者 Patrik Simek 发布补丁几个月之后,该补丁针对的是另一个严重的沙箱逃逸漏洞(CVE-2026-22709,CVSS 评分:9.8),该漏洞可能导致在底层主机系统上执行任意代码。

新发现的一系列沙箱逃逸案例表明,在基于 JavaScript 的沙箱环境中安全隔离不受信任的代码是一项挑战。Simek 此前也承认,未来很可能会发现新的绕过方法。建议 vm2 用户更新至最新版本 ( 3.11.2 ) 以获得最佳保护。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《vm2 Node.js 库漏洞可导致沙箱逃逸和任意代码执行》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0