vm2沙箱曝5大高危漏洞:最高CVSS10.0,波及所有3.11.3及以下版本

admin
admin
admin
0
文章
0
评论
2026-05-24 05:36:25 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: vm2沙箱在3.11.3及以下版本中存在5个高危漏洞,包括黑名单模块绕过、异步Promise逃逸、补丁校验绕过等,最高CVSS评分为10.0,可导致沙箱内代码实现主机远程代码执行。漏洞影响所有使用受影响版本的环境,且无临时缓解措施,建议立即升级至3.11.4或更高版本。 综合评分: 87 文章分类: 漏洞预警,安全工具,解决方案,WEB安全,应用安全

cover_image

vm2 沙箱曝5大高危漏洞:最高 CVSS 10.0,波及所有3.11.3及以下版本

看雪学苑 看雪学苑

看雪学苑

2026年5月22日 17:59 上海

在小说阅读器读本章

去阅读

在Node.js生态中,vm2一直是开发者依赖的“安全沙箱”:它通过限制内置模块,为用户提交的不可信JavaScript代码提供隔离执行环境,被广泛用于在线IDE、低代码平台、AI代码助手等场景,被视作主机安全的一道关键防线。

但近日,vm2被曝出5个独立高危漏洞,CVSS评分最高达10.0,沙箱内的任意代码无需额外权限,即可实现主机远程代码执行(RCE),完全击穿隔离防护,接管服务器进程。所有漏洞均影响3.11.3及以下版本,且目前无配置层面的临时缓解方案。

01

黑名单绕过:被遗漏的两个“后门”模块

漏洞编号:CVE-2026-47140(CVSS 10.0)

vm2的NodeVM实现通过黑名单拦截module、worker_threads等高风险模块,防止沙箱代码直接调用主机资源。但开发者的设计存在致命疏漏:完全忽略了process和inspector/promises两个模块。

若应用的require.builtin配置允许通配符或这两个模块,沙箱内代码可直接调用它们,与主机侧执行原语交互,窃取服务器密钥、读取本地文件,甚至控制系统进程,实现完全接管。

02

异步特性缺陷:JSPI环境下的Promise逃逸

漏洞编号:CVE-2026-47210(CVSS 9.8)

该漏洞针对支持异步代码的现代Node.js环境(如Node 26及以上,开启WebAssembly JavaScript Promise Integration,即JSPI特性)。

由于JavaScript对象构造链的逻辑缺陷,攻击者可利用JSPI-backed Promise,调用Promise.prototype.finally()绕过vm2的安全加固,直接获取主机侧的错误对象。借此突破沙箱边界,窃取主机令牌、凭证,甚至访问应用数据库。

03

补丁翻车:一个判断失误的二次逃逸

漏洞编号:CVE-2026-47137(CVSS 10.0)

这是典型的“补丁修复失败”案例。此前为修复CVE-2023-37903漏洞,开发者添加校验逻辑:当沙箱配置同时启用嵌套选项和禁用require时,拦截危险操作。

但校验使用了严格相等判断(options.require === false),攻击者只需在初始化时省略require配置项,参数就会变为undefined而非false,直接绕过校验。后续系统会默认将require设为false,但此时攻击者已能在沙箱内加载vm2,创建不受限制的子进程,执行任意系统命令完成二次逃逸。

04

底层对象漏洞:Promise与原型链的双重突破

最后两个漏洞直击JavaScript核心对象的底层逻辑:

Promise Species Breakout(CVE-2026-47208):开发者为安全处理rejected Promise,修改了localPromise构造函数,但未清除其构造器的species定义。攻击者可构造自定义Promise,通过伪造的rejection方法提取主机侧错误对象,突破沙箱隔离实现RCE。

原型链劫持(CVE-2026-47131):攻击者通过属性查找,将_lookupGetter和_lookupSetter方法绑定到Node.js原生Buffer对象上,诱导系统抛出ERR_INVALID_ARG_TYPE错误,借此获取主机环境的TypeError构造器,彻底逃逸沙箱。

05

✅ 紧急修复建议

由于这5个漏洞直接破坏了vm2的核心安全机制,所有运行3.11.3及以下版本的生产环境均面临极高风险,且无配置层面的临时缓解方案——只要允许不可信代码在vm2中执行,就可能被利用。

请所有使用vm2的开发团队和系统管理员,立即将依赖升级至3.11.4或更高版本

球分享

球点赞

球在看

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:看雪学苑 看雪学苑 看雪学苑《vm2 沙箱曝5大高危漏洞:最高 CVSS 10.0,波及所有3.11.3及以下版本》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0