В библиотеке vm2 для Node.js были обнаружены 12 критических уязвимостей, которые могут быть использованы злоумышленниками для побега из песочницы и выполнения произвольного кода на уязвимых системах. Эта библиотека, которая позволяет запускать ненадежный JavaScript-код в безопасной среде, теперь требует обновления для защиты.
Предыстория vm2 и её применение
vm2 — это популярная open-source библиотека среди разработчиков, работающих с Node.js, благодаря своей способности предоставлять безопасную среду для выполнения изолированного JavaScript-кода. Как показывает практика, даже самые надежные инструменты могут иметь уязвимости, и именно это произошло с новыми перечнями недостатков в vm2.
Детали уязвимостей
Среди выявленных уязвимостей несколько получили высокий рейтинг CVSS — 9.8 и 10.0, что указывает на серьезность их эксплуатации:
- CVE-2026-24118: Уязвимость позволяет злоумышленнику использовать метод __lookupGetter__ для выхода из песочницы и выполнения кода на хост-системе.
- CVE-2026-43997: Кодовая инъекция, которая позволяет получить доступ к объектам хоста и выполнить произвольный код.
- CVE-2026-44005: Уязвимость, при которой JavaScript, управляемый злоумышленником, может выйти из песочницы, что позволяет произвести переработку прототипов.
Этот ряд уязвимостей стал известен всего через несколько месяцев после того, как Patrik Simek, куратор vm2, выпустил патчи для еще одной критической уязвимости.
Что это значит для разработчиков
Для разработчиков и команд, работающих с vm2, это серьезный сигнал: безопасное выполнение кода под угрозой. Рекомендуется обновить библиотеку до последней версии (3.11.2) для предотвращения атак и защиты систем. Это важно не только для избежания потерь данных, но и для сохранения репутации бизнеса.
В условиях, когда киберугрозы становятся все более сложными, необходимость регулярно обновлять библиотеки и компоненты становится критически важной для обеспечения безопасности приложений.
Следующее обновление vm2, вероятно, выйдет в ближайшие месяцы для устранения имеющихся недостатков, и пользователи должны оставаться внимательными и следить за новыми патчами.
