Ein kritischer Fehler in der Sandbox-Bibliothek für Node.js vm2 - registriert als CVE-2026-26956- erlaubt böswilligen Code, den Käfig zu entkommen und willkürliche Befehle im Host auszuführen. Die Schwachstelle wurde zumindest in der Version 3.10.4 bestätigt und der Betreuer veröffentlichte eine Konzept-Testexplosion, so dass es eine praktische Bedrohung für Dienstleistungen, die Drittanbieter-Code in Echtzeit ausführen.
vm2 ist weit verbreitet in Lernplattformen, Online-Editoren, Automatisierungen und SaaS-Anwendungen, die Benutzerskripte akzeptieren und ausführen, mit mehr als 1,3 Millionen Downloads pro Woche in npm. Fehlermechanik ist kein klassischer JavaScript-Berechtigungsbypass: Die Buchhandlung vertraut JavaScript-Level-Schutz - Wrapper (Proxies) und Objekthygiene zwischen Kontexten - aber Umgang mit Ausnahmen auf WebAssembly Ebene in V8 kann Fehler abfangen, bevor diese Schutzmaßnahmen wirken. Laut der offiziellen Warnung nutzt der Vektor das Conversion-Symbol → Kette aus, um einen speziell gebauten TypError zu verursachen, der ein Fehlerobjekt von der Seite des Hosts "gefiltert" zur Sandbox macht, ohne geheilt zu werden; von dieser korrupten Instanz können die Angreifer die Kette von Bauherren reisen und Interals erreichen wieVerfahren, Öffnen Sie die Tür zur Fernausführung.
Es ist wichtig zu betonen, dass der Betreuer anzeigt, dass das Problem in Umgebungen, in denen Node.js 25 (verifiziert 25.6.1) wenn die Ausnahmeverwaltungsfunktionen von WebAssembly und JSTag aktiviert werden. Da vm2 in den letzten Jahren jedoch unter wiederholten Sandkasten-Flüchtigkeiten gelitten hat, erhöhen die Entstehung öffentlicher Ausbeutungen und die Komplexität des Ökosystems V8 das Risiko zusätzlicher Entdeckungen oder Ausbeutungsketten.
Die praktischen Konsequenzen für Organisationen, die von vm2 abhängen, sind klar: Eine Remote-Operation kann zu Datenexfiltration, Zugriff auf Speicher oder Festplattengeheimnisse, Seitenbewegungen von Servern, die Sandboxen ausführen, und auch Engagement der Integration Pipeline, wenn diese Umgebungen Drittanbieter-Code verarbeiten. Die Geschichte früherer Schwachstellen in vm2 verstärkt die Notwendigkeit, sich nicht nur auf Isolationskontrollen auf der Sprachebene zu verlassen.
Um das Risiko sofort und pragmatisch abzumildern, ist die direkte Empfehlung zu aktualisieren, vm2 Version 3.10.5 oder höher(der Betreuer veröffentlichte die Korrektur im Repository; siehe die technische Mitteilung in GitHub und die Freigaben). Wenn es nicht möglich ist, das Patch sofort anzuwenden, bewerten Sie das Deaktivieren der Funktionalitäten von WebAssembly Ausnahme Handling und JSTag in den betroffenen Umgebungen, vermeiden Sie das Laufen vm2 auf Node.js 25 bis zur Bestätigung der sicheren Konfiguration, oder vorübergehend entfernen Sie die Codeausführung ohne Überprüfung. Die Seite des Betreuers enthält sowohl die Beratung mit technischen Details wie: Release Artefakte 3.10.5 das den Fehler korrigiert.
Jenseits des Patches ist es angebracht, die Prinzipien der Oberflächenreduktion und der tiefen Verteidigung anzuwenden: Laufen Sie Sandkästen in isolierten Prozessen mit minimalen Betriebssystem-Privilegien, enthalten sie mit dedizierten Containern oder VMs, wenden Sie strenge Netzwerksteuerungen und Egress-Policies an, verwenden Sie Ressourcenkontrollmechanismen (Cgroups, CPU Limits / Speicher) und minimieren Sie die Exposition von Geheimnissen in den laufenden Umgebungen. Es wird auch empfohlen, Erkennung und Antwort auf anormale Verhaltensweisen (Systembefehlsausführung, Zugriff auf empfindliche Routen) zu implementieren und Anmeldeinformationen zu drehen, die von kompromittierten Sandboxen zugänglich sind.
Für Entwicklungs- und Sicherheitsausrüstungen, die Abhängigkeiten verwalten, ist es angebracht, zu prüfen, wo vm2 in Repositorien und Pipelines verwendet wird, Set-Versionen im Paketmanager, Sicherheitskontrollen in CI hinzufügen, um gefährdete Versionen zu erkennen und zu blockieren, und Sicherheitstests einschließlich der veröffentlichten PoC-Analyse zu koordinieren, um den Umfang in Ihrer Umgebung zu verstehen. Angesichts der Geschwindigkeit, mit der öffentliche Ausbeutungen auftraten, ist die Annahme eines Modells der gemeinsamen Verantwortung zwischen Betreuern und Verbrauchern unerlässlich.
Dieser Vorfall zeigt zwei Lektionen: Erstens, dass eine robuste Isolation in JavaScript-Umgebungen komplex und zerbrechlich ist, wenn sie mit tieferen Schichten des Laufmotors interagieren; und zweitens, dass Organisationen nicht nur auf Sprach-Level-Sandboxing verlassen sollten, um unzuverlässigen Code zu führen. Die Aufrechterhaltung aktueller Einheiten, die Anwendung von Patches schnell und zusätzliche Eindämmungsmaßnahmen sind Aktionen, die das Risiko erheblich reduzieren, bis die Implementierungsarchitektur mit stärkeren Kontrollen wiederhergestellt werden kann.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...