Node.js: Vier kritische Sicherheitslücken mit Höchstwertung in vm2 geschlossen

Die vm2-Sandbox der Open-Source-JavaScript-Laufzeitumgebung Node.js kommt nicht aus den Schlagzeilen heraus und die Entwickler schließen nun ein weiteres Mal „kritische“ Sicherheitslücken. Erneut können Angreifer aus der Sandbox ausbrechen und Host-PCs mit Schadcode kompromittieren.

Kritische Softwareschwachstellen

In der Version 3.11.4 haben die Entwickler mehrere Schwachstellen geschlossen. Darunter sind vier „kritische“ Lücken mit dem höchstmöglichen CVSS Score 10 von 10 (CVE-2026-47208, CVE-2026-47137, CVE-2026-47140, CVE-2026-47131). Um Schadcode ins Hostsystem zu schieben und auszuführen, gibt es mehrere Wege.

Weil die Prozesse process und inspector/promises nicht in der Speerliste von Node.js stehen, können Angreifer daran für einen Sandboxausbruch ansetzen. Außerdem können sie verschiedene Funktionen kombinieren, um mit dem TypeError-Constructor ins Hostsystem zu gelangen.

Noch mehr Gefahren

Eine weitere „kritische“ Lücke (CVE-2026-47210) ermöglicht im Kontext von WebAssembly JSPI einen weiteren Sandboxausbruch. Weiterhin haben die Entwickler noch drei Sicherheitslücken (CVE-2026-47139, CVE-2026-47209, CVE-2026-47135) mit dem Bedrohungsgrad „hoch“ geschlossen. Weiterführende Informationen zu den Lücken finden sich im Sicherheitsbereich der GitHub-Website des Projekts.

Seit Anfang Mai sorgt vm2 für Schlagzeilen, weil Angreifer die Sandbox überwinden können. Dementsprechend haben die Entwickler jüngst zwei „kritische“ Sicherheitslücken (CVE-2026-26956, CVE-2026-45411) geschlossen. Bislang gibt es seitens der Entwickler keine Warnungen, dass Angreifer die Schwachstellen bereits ausnutzen. Gleichwohl sollten Admins mit dem Patchen nicht zu lange zögern.

(des)