Sicherheitsforscher haben ein Dutzend kritischer Schwachstellen in der Node.js-Bibliothek vm2 offengelegt. Über die Lücken können Angreifer den Schutzmechanismus der Sandbox umgehen und beliebigen Code auf betroffenen Systemen ausführen.
vm2 ist eine quelloffene Bibliothek, die dazu dient, nicht vertrauenswürdigen JavaScript-Code in einer sicheren, abgeschotteten Umgebung laufen zu lassen. Der Schutz beruht darauf, dass die Bibliothek JavaScript-Objekte abfängt und über Proxys umleitet. So soll verhindert werden, dass der in der Sandbox ausgeführte Code Zugriff auf die Host-Umgebung erhält. Die neu gemeldeten Lücken setzen genau an dieser Isolierung an.
Die Offenlegung erfolgt rund zwei Monate, nachdem vm2-Maintainer Patrik Simek bereits einen Patch für eine andere kritische Lücke veröffentlicht hatte. Jene Schwachstelle (CVE-2026-22709, CVSS-Wert 9,8) erlaubte ebenfalls einen Ausbruch aus der Sandbox und konnte zur Ausführung beliebigen Codes auf dem darunterliegenden Host-System führen.
Die Häufung der neu entdeckten Ausbruchsmöglichkeiten zeigt, wie schwierig die sichere Isolierung von nicht vertrauenswürdigem Code in JavaScript-basierten Sandbox-Umgebungen ist. Simek hatte bereits zuvor eingeräumt, dass künftig wahrscheinlich weitere Umgehungen gefunden würden.
Nutzern von vm2 wird empfohlen, für den bestmöglichen Schutz auf die aktuelle Version 3.11.2 zu aktualisieren.