vm2 ist eine JavaScript-Sandbox f\u00fcr Node.js. Deren Entwicklung wurde 2023 eigentlich eingestellt. In der Software wurde eine weitere Sicherheitsl\u00fccke entdeckt, die den Ausbruch aus der gesicherten Umgebung und die Ausf\u00fchrung von beliebigem Code erm\u00f6glicht. Ein Update steht bereit.<\/p>\n
Weiterlesen nach der Anzeige<\/p>\n
In der Schwachstellenmeldung erkl\u00e4ren<\/a> die Autoren, dass die Filterung der Eingaben an die Callback-Funktionen von Promise.prototype.then und Promise.prototype.catch umgangen werden kann. Dadurch k\u00f6nnen Angreifer aus der Sandbox ausbrechen und eigenen Code starten (CVE-2026-22709, CVSS 9.8<\/strong>, Risiko \u201ekritisch<\/strong>\u201c). W\u00e4hrend die Callback-Funktion von localPromise.prototype.then in \u201elib\/setup-sandbox.js\u201c eine Filterung vornimmt, fehlt diese in globalPromise.prototype.then, erkl\u00e4ren die Autoren weiter. Der Patch f\u00fcr die Datei<\/a> ist recht \u00fcbersichtlich und erg\u00e4nzt die Filterung.<\/p>\n Die Version 3.10.2 von vm2<\/a> korrigiert den Fehler. Ein Proof-of-Concept-Exploit ist bereits verf\u00fcgbar<\/a>. B\u00f6sartige Akteure k\u00f6nnen die L\u00fccke daher schnell in ihr Standard-Repertoire aufnehmen. Seit wenigen Tagen ist zudem die noch aktuellere Version 3.10.3<\/a> verf\u00fcgbar. Die Korrekturen darin sollen ebenfalls etwa Ausbr\u00fcchen aus der Sandbox vorbeugen. Entwickler sollten daher auf diese Version aktualisieren, sofern sie noch vm2 einsetzen.<\/p>\n Beendetes Projekt wiederbelebt<\/p>\n Der Initiator des vm2-Projekts, Patrik Simek, hatte Mitte 2023 eigentlich das Ende<\/a> des Projekts verk\u00fcndet. Kurz zuvor wurde eine kritische Sicherheitsl\u00fccke gefunden, f\u00fcr die keine Fehlerkorrektur programmiert wurde. Simek hatte daher Entwicklern empfohlen, stattdessen auf das ebenfalls quelloffene isolated-vm zu wechseln.<\/p>\n Bislang eher unbemerkt blieben neue Commits im Projekt von Ende Oktober 2025. Unter dem Titel \u201eResurrection\u201c hat Simek<\/a> damit die Weiterentwicklung von vm2 mit Versionssprung auf 3.10 angesto\u00dfen. W\u00e4hrend Simek sich urspr\u00fcnglich deutlich zu den Gr\u00fcnden f\u00fcr das Aus ge\u00e4u\u00dfert hatte \u2013 die wachsende Komplexit\u00e4t von Node.js sei nicht mehr handhabbar \u2013, finden sich keine Hinweise f\u00fcr die Motivation, nach mehr als zwei Jahren doch wieder weiterzumachen.<\/p>\n Wer bisher das Ende des Projekts nicht mitbekommen und daher eine veraltete, mit Sicherheitsl\u00fccken gespickte Version von vm2 im Einsatz hat, sollte z\u00fcgig auf die fehlerkorrigierte Fassung umsteigen. <\/p>\n Weiterlesen nach der Anzeige<\/p>\n