Kritische Sicherheitslücken in der Node.js-Bibliothek vm2 ermöglichen Angriffe auf beliebigen Code-Ausführung

Sicherheitslage und Risiko

Eine weitere Schwachstelle, CVE-2026-24781, missbraucht das util-Modul, um interne Strukturen zu inspizieren, rohe Host-Objekte freizulegen und die Proxy-Isolierungsebene von VM2 zu umgehen. Auch neuere JavaScript-Funktionen eröffnen Angriffsvektoren. CVE-2026-26332 nutzt die Mechanismen Node.js v24 aus, um das Host-Function-Objekt freizulegen.

CVE-2026-26956 richtet sich gegen Node.js v25 und verwendet eine WebAssembly try_table-Anweisung, die die Sanitisierung von vm2 vollständig umgeht. Forscher haben mit dieser Technik eine vollständige Code-Execution auf Root-Ebene demonstriert. Zusätzliche Schwachstellen nutzen Prototypenketten und Modul-Lade-Logik aus.

CVE-2026-43997 und CVE-2026-44006 missbrauchen util.inspect und Prototypen-Traversierung, um Sandbox-Escape-Angriffe durchzuführen. CVE-2026-43999 umgeht die integrierten Modulbeschränkungen von vm2 mittels Module._load(), selbst wenn child_process explizit blockiert ist. Auch Prototypen-Verschmutzung bleibt ein ernstes Problem.

Sicherheitslage und Risiko

CVE-2026-44005 ermöglicht Angreifern die Modifikation gemeinsamer Host-Prototypen wie Object.prototype und Function.prototype, was den gesamten Node.js-Prozess beeinträchtigen kann.

Eine gefährliche Konfigurationslücke, die als GHSA-8hg8-63c5-gwmx verfolgt wird, zeigt, dass das Aktivieren: true die Einstellung require: false wirkungslos macht, wodurch sandboxierter Code unbegrenzte innere VMs erstellen und trotz Sicherheitsbeschränkungen vollständigen Remote Code Execution (RCE) durchführen kann.

Besonders beunruhigend ist, dass die beiden kritischen Schwachstellen CVE-2026-44008 und CVE-2026-44009 in Versionen bis einschließlich 3.11.1 noch nicht gepatcht wurden. Diese Schwachstellen nutzen die Handhabung aus, um Host-seitige Objekte freizulegen und den uneingeschränkten Zugriff auf den Host-Funktion-Konstruktor wiederzugewinnen.

Sicherheitslage und Risiko

Laut Berichten die elf Schwachstellen anhaltende Sicherheitslücken im Sandbox-Sicherheitsmodell von vm2 und stellen Anwendungen, die nicht vertrauenswürdigen Code ausführen, erheblichen Risiken aus. Betreiber sollten vm2 unverzüglich auf Version 3.11.1 aktualisieren, um alle derzeit gepatchten Schwachstellen zu beheben.

Für CVE-2026-44008 und CVE-2026-44009 steht keine Reparatur zur Verfügung; Teams sollten erwägen, die auf vm2 basierende Sandboxing vollständig zu deaktivieren und sie durch Kernel-Level-Isolationstechnologien wie Docker, gVisor oder Firecracker-MicroVMs zu ersetzen.

Entwickler müssen die Option nesting: true und Wildcard-Konfigurationen für eingebaute Funktionen, wie ['*', '-child_process'], in jeder Umgebung vermeiden, in der nicht vertrauenswürdiger Code ausgeführt wird.

Angesichts der enormen Vielfalt und des Umfangs dieser Umgehungsmechanismen – die über das Ausnahmenmanagement in WebAssembly bis hin zum Überschreiben interner Module reichen – ist das rein auf JavaScript basierende Isolationsmodell von vm2 für hochsichere Anwendungsfälle grundsätzlich unzureichend. Sie uns auf