vm2 Node.js库曝严重沙箱逃逸漏洞(CVE-2026-22709)可导致任意代码执行

流行的vm2 Node.js库近日披露一个高危沙箱逃逸漏洞,攻击者成功利用该漏洞可在底层操作系统上执行任意代码。该漏洞编号为CVE-2026-22709,CVSS评分为9.8分(满分10分)。

漏洞技术细节

vm2维护者Patrik Simek表示:"在vm2 3.10.0版本中,Promise.prototype.then和Promise.prototype.catch回调的净化处理可被绕过,导致攻击者能够逃逸沙箱并执行任意代码。"vm2是一个Node.js库,通过拦截和代理JavaScript对象,在安全的沙箱环境中运行不受信任的代码,防止沙箱代码访问主机环境。

新发现的漏洞源于该库对Promise处理程序的不当净化处理,形成了逃逸向量,最终导致在沙箱边界外执行任意代码。Endor Labs研究人员Peyton Kennedy和Cris Staicu指出:"关键问题在于JavaScript中的异步函数返回的是globalPromise对象而非localPromise对象。由于globalPromise.prototype.thenglobalPromise.prototype.catch未像localPromise那样被正确净化处理。"

历史漏洞与维护现状

虽然CVE-2026-22709已在vm2 3.10.2版本中修复,但这是近年来困扰该库的一系列沙箱逃逸漏洞中的最新案例。此前已披露的漏洞包括:CVE-2022-36067、CVE-2023-29017、CVE-2023-29199、CVE-2023-30547、CVE-2023-32314、CVE-2023-37466和CVE-2023-37903。

2023年7月发现CVE-2023-37903后,Simek曾宣布该项目将停止维护。但最新GitHub仓库中的README文件已删除相关声明,安全页面也在2025年10月更新,表明vm2 3.x版本仍在积极维护中。

安全建议与替代方案

vm2维护者承认未来可能还会发现新的绕过方法,建议用户确保及时更新库版本,并考虑使用isolated-vm等具有更强隔离保证的替代方案。Semgrep表示:"作为vm2的继任者,isolated-vm不再依赖问题多发的vm模型,而是基于V8原生Isolate接口构建,提供了更坚实的基础。但即便如此,vm2维护者仍强调隔离的重要性,实际推荐使用Docker实现组件间的逻辑隔离。"

鉴于该漏洞的严重性,建议用户升级至最新版本(3.10.3),该版本修复了多个沙箱逃逸问题。

相关推荐
laoli_coding12 小时前
如何配置HTTPS站点访问的免费SSL域名证书
网络协议·https·node.js·ssl
To_OC12 小时前
手写 AI 编程 Agent 的命令执行工具:我被 child_process 坑出来的实战经验
后端·node.js·agent
大家的林语冰20 小时前
👍 Rust 为 Node 插上翅膀,反超 Bun 和 pnpm,一体化工具我也有!
前端·javascript·node.js
Kel1 天前
Node.js 本质:从全脉络视角理解运行时原理
javascript·设计模式·node.js
ShiXZ2131 天前
指令集-NPM 常用指令速查手册
前端·npm·node.js
孟陬2 天前
高质量全方位的 AI 工具 sse-stuntman — Mock SSE 接口
前端·node.js·openai
掰头战士2 天前
你本地的LLM有时会胡乱使用tools?不妨用MCP规范LLM工具调用!
node.js·llm·全栈
触底反弹2 天前
🧠 LangChain Agent 入门:为什么直接调大模型 API 远远不够?
人工智能·node.js·llm
书中枫叶2 天前
从「上次几点喂奶」到全栈小程序:我做了个喂宝助手
mongodb·微信小程序·node.js
Asize2 天前
Node path 与 fs 模块:从回调地狱到 async await 的异步进化
javascript·node.js