JavaScript-Sandbox vm2: kritische Lücke erlaubt Ausbruch

vm2 ist eine JavaScript-Sandbox für Node.js. Deren Entwicklung wurde 2023 eigentlich eingestellt. In der Software wurde eine weitere Sicherheitslücke entdeckt, die den Ausbruch aus der gesicherten Umgebung und die Ausführung von beliebigem Code ermöglicht. Ein Update steht bereit.

Weiterlesen nach der Anzeige

In der Schwachstellenmeldung erklären die Autoren, dass die Filterung der Eingaben an die Callback-Funktionen von Promise.prototype.then und Promise.prototype.catch umgangen werden kann. Dadurch können Angreifer aus der Sandbox ausbrechen und eigenen Code starten (CVE-2026-22709, CVSS 9.8, Risiko „kritisch“). Während die Callback-Funktion von localPromise.prototype.then in „lib/setup-sandbox.js“ eine Filterung vornimmt, fehlt diese in globalPromise.prototype.then, erklären die Autoren weiter. Der Patch für die Datei ist recht übersichtlich und ergänzt die Filterung.

Die Version 3.10.2 von vm2 korrigiert den Fehler. Ein Proof-of-Concept-Exploit ist bereits verfügbar. Bösartige Akteure können die Lücke daher schnell in ihr Standard-Repertoire aufnehmen. Seit wenigen Tagen ist zudem die noch aktuellere Version 3.10.3 verfügbar. Die Korrekturen darin sollen ebenfalls etwa Ausbrüchen aus der Sandbox vorbeugen. Entwickler sollten daher auf diese Version aktualisieren, sofern sie noch vm2 einsetzen.

Beendetes Projekt wiederbelebt

Der Initiator des vm2-Projekts, Patrik Simek, hatte Mitte 2023 eigentlich das Ende des Projekts verkündet. Kurz zuvor wurde eine kritische Sicherheitslücke gefunden, für die keine Fehlerkorrektur programmiert wurde. Simek hatte daher Entwicklern empfohlen, stattdessen auf das ebenfalls quelloffene isolated-vm zu wechseln.

Bislang eher unbemerkt blieben neue Commits im Projekt von Ende Oktober 2025. Unter dem Titel „Resurrection“ hat Simek damit die Weiterentwicklung von vm2 mit Versionssprung auf 3.10 angestoßen. Während Simek sich ursprünglich deutlich zu den Gründen für das Aus geäußert hatte – die wachsende Komplexität von Node.js sei nicht mehr handhabbar –, finden sich keine Hinweise für die Motivation, nach mehr als zwei Jahren doch wieder weiterzumachen.

Wer bisher das Ende des Projekts nicht mitbekommen und daher eine veraltete, mit Sicherheitslücken gespickte Version von vm2 im Einsatz hat, sollte zügig auf die fehlerkorrigierte Fassung umsteigen.

Weiterlesen nach der Anzeige

(dmk)

Dieser Link ist leider nicht mehr gültig.

Links zu verschenkten Artikeln werden ungültig,
wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden.

Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung!