Kritisk sandbox‑escape i vm2

Et nyt kritisk sikkerhedsproblem er blevet afsløret i det udbredte Node.js‑sandboxbibliotek vm2, og det viser sig, at isolation af ubetroet JavaScript‑kode er sværere end som så. 

Det skriver Bleeping Computer. 

Sårbarheden har id’et EUVD-2026-4660 / CVE-2026-22709, en CVSS-score på 9,8 og en EPSS-score på 0,06 pct.

Den gør det muligt for en angriber at bryde ud af vm2‑sandboxen og eksekvere vilkårlig kode på værtsmaskinen – altså præcis det scenarie, biblioteket er designet til at forhindre.

Ifølge Bleeping Computer er det ikke første gang, vm2 er ramt af alvorlige sikkerhedsfejl. Biblioteket har en lang historik med sandbox‑escapes, og i 2023 blev projektet endda opgivet netop på grund af gentagne og grundlæggende problemer i designet. Ikke desto mindre blev projektet genoplivet i oktober sidste år, hvor udvikler Patrik Šimek udgav version 3.10.0 – en udgave, der skulle rette alle kendte fejl og samtidig bevare kompatibilitet helt tilbage til Node.js 6.

Det vurderes, at over 200.000 GitHub‑projekter gør brug af biblioteket, og i npm‑registret ses stadig op mod en million downloads om ugen. Det gør enhver kritisk sårbarhed til et højrisikoproblem for mange services – især dem, der integrerer brugergenereret kode, såsom SaaS‑platforme, interaktive kodekørere og chatbots.

Sårbarheden blev delvist rettet i vm2 version 3.10.1, men efterfølgende analyser viste, at fixet kunne omgås. En mere robust løsning blev derfor indført i version 3.10.2, og ifølge Šimek er problemet nu fuldt adresseret i version 3.10.3, som pt. er den nyeste udgivelse.

Historikken viser dog, at vm2‑udviklingen ofte har krævet flere iterationsrunder for at lukke hullerne helt. Tidligere sårbarheder havde tilsvarende kritisk karakter og blev i alle tilfælde fulgt af aktiv udnyttelse og offentliggjorte exploits kort efter afsløringen, fremgår det.