【漏洞通告】vm2 沙箱逃逸漏洞(CVE-2026-22709)
发布时间 2026-01-28一、漏洞概述
漏洞名称 | vm2 沙箱逃逸漏洞 | ||
CVE ID | CVE-2026-22709 | ||
漏洞类型 | 沙箱逃逸 | 发现时间 | 2026-1-28 |
漏洞评分 | 9.8 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 已公开 | 在野利用 | 未发现 |
vm2是一个用于在Node.js环境中创建隔离沙箱的库,允许在安全的环境中执行不可信的JavaScript代码。它通过模拟浏览器环境,提供了对代码执行的严格控制,防止恶意代码访问宿主系统的敏感资源。vm2允许在沙箱中运行代码,同时确保代码无法访问全局对象、模块、文件系统或执行危险的系统操作。它广泛用于需要执行动态代码且要求高安全性的场景,如在云服务平台、测试环境中执行未验证的脚本。
2026年1月28日,启明星辰集团VSRC监测到vm2中的一个沙箱逃逸漏洞,在受影响版本中,Promise.prototype.then和Promise.prototype.catch的回调函数未能有效地对传入的数据进行适当的过滤和隔离,导致攻击者能够绕过沙箱的限制,执行任意代码。具体来说,当异步函数返回一个globalPromise对象时,其回调没有经过充分的安全处理,攻击者可以利用这一点构造恶意代码,并在沙箱外部执行。通过精心设计的promise链,攻击者能够利用如Function构造器执行系统命令,实现沙箱逃逸。这使得攻击者能够在受保护环境中执行任意命令,严重危害系统安全。
二、影响范围
vm2 <= 3.10.0
三、安全措施
3.1 升级版本
下载链接:https://github.com/patriksimek/vm2/releases/
3.2 临时措施
暂无。
京公网安备11010802024551号