Die vm2-Sandbox ist im Kontext von Node.js-Umgebungen erneut löchrig und Angreifer können Schadcode ins Hostsystem schieben und ausführen. Admins sollten das Sicherheitsupdate zeitnah installieren.
11:45 Uhr
|
|
12.05.2026 11:45 Uhr |
Die vm2-Sandbox ist im Kontext von Node.js-Umgebungen erneut löchrig und Angreifer können Schadcode ins Hostsystem schieben und ausführen. Admins sollten das Sicherheitsupdate zeitnah installieren.
Wie aus einer Warnmeldung auf GitHub hervorgeht, hat die „kritische“ Lücke bislang noch keine CVE-Nummer bekommen. Aufgrund eines Fehlers können sich Angreifer eines Ereignisses aus dem Hostsystem bemächtigen und innerhalb der Sandbox die Kontrolle über einen Host-Prozess erlangen. Auf diesem Weg kann Schadcode ins Hostsystem gelangen. Wie eine Attacke konkret ablaufen könnte, ist bislang nicht bekannt. Auf der genannten GitHub-Website ist Proof-of-Concept-Code verfügbar. Die Entwickler versichern, die Schwachstelle in vm2 3.11.3 geschlossen zu haben.
Erst kürzlich sorgte eine Sandbox-Lücke in Node.js 25 für Schlagzeilen.
Siehe auch:
(des)