Zraniteľnosť vm2 pre Node.js umožňuje obísť sandboxing

Oznámenia a varovania
Varovanie

January 28, 2026

Vývojári knižnice wm2 pre Node.js s funkcionalitou sandboxingu opravili kritickú chybu, ktorá útočníkom umožňuje uniknúť zo sandboxu a vykonávať ľubovoľný kód.

Zraniteľné systémy:

Node.js wm2 verzia 3.10.0 a staršie

Opis činnosti:

CVE-2026-22709 (CVSS skóre 9,8)

Kritická zraniteľnosť knižnice Node.js wm2 pre sandboxing nedôveryhodného obsahu umožňuje obchádzať sanitizáciu volaní Promise.prototype.then a Promise.prototype.catch. Lokálne volania funkcií sú ošetrené, avšak globálne nie. Útočníci tak môžu obísť hlavnú funkciu knižnice, uniknúť zo sandboxu a vykonávať ľubovoľný kód.

Možné škody:

Obídenie bezpečnostných prvkov
Vykonávanie ľubovoľného kódu

Odporúčania:

Bezodkladná aktualizácia Node.js wm2 aspoň na verziu 3.10.2.

Odkazy:

https://github.com/patriksimek/vm2/security/advisories/GHSA-99p7-6v5w-7xg8
https://nvd.nist.gov/vuln/detail/CVE-2026-22709
https://www.bleepingcomputer.com/news/security/critical-sandbox-escape-flaw-discovered-in-popular-vm2-nodejs-library/