vm2 Node.js-bibliotheekkwetsbaarheden maken sandbox-escape en uitvoering van willekeurige code mogelijk

Cyberbeveiliging
vm2 Node.js-bibliotheekkwetsbaarheden maken sandbox-escape en uitvoering van willekeurige code mogelijk

In de vm2 Node.js-bibliotheek zijn een tiental kritieke beveiligingskwetsbaarheden onthuld die door kwaadwillenden kunnen worden uitgebuit om uit de sandbox te ontsnappen en willekeurige code uit te voeren op gevoelige systemen.

vm2 is een open-sourcebibliotheek die wordt gebruikt om niet-vertrouwde JavaScript-code uit te voeren in een beveiligde sandbox door JavaScript-objecten te onderscheppen en te proxyen om te voorkomen dat sandbox-code toegang krijgt tot de hostomgeving.

De beveiligingsfouten worden hieronder vermeld:

  • CVE-2026-24118 (CVSS-score: 9,8) – Een kwetsbaarheid die ontsnapping uit de sandbox mogelijk maakt via “__lookupGetter__” en een aanvaller in staat stelt willekeurige code uit te voeren op de onderliggende host. (Beïnvloedt versies <= 3.10.4, patches in 3.11.0)
  • CVE-2026-24120 (CVSS-score: 9,8) – Een patch-bypass voor CVE-2023-37466 (CVSS-score: 9,8) waarmee aanvallers uit de sandbox kunnen ontsnappen via de soorteigenschap van belofte-objecten en willekeurige opdrachten kunnen uitvoeren op de onderliggende host. (Beïnvloedt versies <= 3.10.3, gepatcht in 3.10.5)
  • CVE-2026-24781 (CVSS-score: 9,8) – Een kwetsbaarheid die sandbox-ontsnapping mogelijk maakt via de “inspect”-functie en een aanvaller in staat stelt willekeurige code uit te voeren op de onderliggende host. (Beïnvloedt versies <= 3.10.3, patches in 3.11.0)
  • CVE-2026-26332 (CVSS-score: 9,8) – Een kwetsbaarheid die ontsnapping uit de sandbox mogelijk maakt via “SuppressError” en een aanvaller in staat stelt willekeurige code uit te voeren op de onderliggende host. (Beïnvloedt versies <= 3.10.4, patches in 3.11.0)
  • CVE-2026-26956 (CVSS-score: 9,8) – Een kwetsbaarheid voor het falen van het beveiligingsmechanisme die het mogelijk maakt om in de sandbox te ontsnappen met uitvoering van willekeurige code door een TypeError te activeren die wordt geproduceerd door dwang van symbool naar tekenreeks. (Beïnvloedt versie 3.10.4, bevestigd op Node.js 25.6.1, gepatcht in 3.10.5)
  • CVE-2026-43997 (CVSS-score: 10,0) – Een kwetsbaarheid voor code-injectie waarmee een aanvaller het hostobject kan bemachtigen en uit de sandbox kan ontsnappen, wat leidt tot uitvoering van willekeurige code. (Beïnvloedt versies <= 3.10.5, gepatcht in 3.11.0)
  • CVE-2026-43999 (CVSS-score: 9,9) – Een kwetsbaarheid die het omzeilen van de ingebouwde toelatingslijst van NodeVM mogelijk maakt en een aanvaller in staat stelt uitgesloten ingebouwde onderdelen zoals child_process te laden en externe code uit te voeren. (Beïnvloedt versie 3.10.5, gepatcht in 3.11.0)
  • CVE-2026-44005 (CVSS-score: 10,0) – Een kwetsbaarheid waardoor door de aanvaller bestuurde JavaScript uit de sandbox kan ontsnappen en prototypevervuiling mogelijk maakt. (Beïnvloedt versies 3.9.6-3.10.5, gepatcht in 3.11.0)
  • CVE-2026-44006 (CVSS-score: 10,0) – Een kwetsbaarheid voor code-injectie via “BaseHandler.getPrototypeOf” die ontsnapping uit de sandbox en uitvoering van externe code mogelijk maakt. (Beïnvloedt versies <= 3.10.5, gepatcht in 3.11.0)
  • CVE-2026-44007 (CVSS-score: 9.1) – Een kwetsbaarheid in de toegangscontrole die het mogelijk maakt om vanuit de sandbox te ontsnappen en willekeurige besturingssysteemopdrachten op de onderliggende host uit te voeren. (Beïnvloedt versies <= 3.11.0, gepatcht in 3.11.1)
  • CVE-2026-44008 (CVSS-score: 9,8) – Een kwetsbaarheid die ontsnapping uit de sandbox mogelijk maakt via “neutralizeArraySpeciesBatch()” en een aanvaller in staat stelt willekeurige opdrachten uit te voeren op de onderliggende host. (Beïnvloedt versies <= 3.11.1, gepatcht in 3.11.2)
  • CVE-2026-44009 (CVSS-score: 9,8) – Een kwetsbaarheid die ontsnapping uit de sandbox mogelijk maakt via een null-proto-uitzondering en een aanvaller in staat stelt willekeurige opdrachten uit te voeren op de onderliggende host. (Beïnvloedt versies <= 3.11.1, gepatcht in 3.11.2)

De onthulling komt een paar maanden nadat vm2-onderhouder Patrik Simek patches heeft uitgebracht voor een andere kritieke ontsnappingsfout in de sandbox (CVE-2026-22709, CVSS-score: 9,8) die zou kunnen leiden tot uitvoering van willekeurige code op het onderliggende hostsysteem.

De reeks nieuw geïdentificeerde sandbox-ontsnappingen illustreert de uitdaging van het veilig isoleren van niet-vertrouwde code in op JavaScript gebaseerde sandbox-omgevingen, waarbij Simek eerder erkende dat er in de toekomst waarschijnlijk nieuwe bypasses zullen worden ontdekt. Gebruikers van vm2 worden geadviseerd om te updaten naar de nieuwste versie (3.11.2) voor optimale bescherming.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Op Mirai gebaseerd xlabs_v1 botnet maakt gebruik van ADB om IoT-apparaten te kapen voor DDoS-aanvallen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]