Node.js 25: Ausbrüche aus JavaScript-Sandbox vm2 vorstellbar

Stimmen die Voraussetzungen, können Angreifer auf einer Node.js-Instanz aus der vm2-Sandbox ausbrechen und Schadcode ausführen. Ein Proof-of-Concept-Exploit ist öffentlich, bislang gibt es aber keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Mittlerweile haben die Entwickler ein Sicherheitsupdate veröffentlicht.

Details zur Sicherheitslücke

Aus einer Warnmeldung auf GitHub geht hervor, dass die Schwachstelle (CVE-2026-26956) mit dem Bedrohungsgrad „kritisch“ eingestuft ist. Die Entwickler versichern, dass davon ausschließlich Node.js 25 bedroht ist. Sie geben an, die Lücke in v25.6.1 erfolgreich reproduziert zu haben. Von vm2 ist konkret die Versoin 3.10.4 verwundbar. Die Schwachstelle wurde in Version 3.10.5 geschlossen. Instanzen sind aber nur angreifbar, wenn WebAssembly exception handling und JSTag support aktiv sind.

Ist das gegeben, können Angreifer mit präparierten Anfragen Fehler auslösen, wodurch die vm2-Sicherheitsfilter umgangen werden. Im Anschluss können sie eigenen Code im Hostsystem ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Systeme im Anschluss als vollständig kompromittiert gelten. Weitere Details zur Lücke und einem möglichen Ablauf von Attacken führen die Entwickler in der Warnmeldung aus.

(des)