Alert!

Node.js 25: Ausbrüche aus JavaScript-Sandbox vm2 vorstellbar

Die Sandbox-Komponente vm2 der Open-Source-JavaScript-Laufzeitumgebung Node.js ist mit bestimmten Einstellungen verwundbar.

(Bild: Artur Szczybylo/Shutterstock.com)

11:02 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

Stimmen die Voraussetzungen, können Angreifer auf einer Node.js-Instanz aus der vm2-Sandbox ausbrechen und Schadcode ausführen. Ein Proof-of-Concept-Exploit ist öffentlich, bislang gibt es aber keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Mittlerweile haben die Entwickler ein Sicherheitsupdate veröffentlicht.

Details zur Sicherheitslücke

Aus einer Warnmeldung auf GitHub geht hervor, dass die Schwachstelle (CVE-2026-26956) mit dem Bedrohungsgrad „kritisch“ eingestuft ist. Die Entwickler versichern, dass davon ausschließlich Node.js 25 bedroht ist. Sie geben an, die Lücke in v25.6.1 erfolgreich reproduziert zu haben. Von vm2 ist konkret die Versoin 3.10.4 verwundbar. Die Schwachstelle wurde in Version 3.10.5 geschlossen. Instanzen sind aber nur angreifbar, wenn WebAssembly exception handling und JSTag support aktiv sind.

Videos by heise

Ist das gegeben, können Angreifer mit präparierten Anfragen Fehler auslösen, wodurch die vm2-Sicherheitsfilter umgangen werden. Im Anschluss können sie eigenen Code im Hostsystem ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Systeme im Anschluss als vollständig kompromittiert gelten. Weitere Details zur Lücke und einem möglichen Ablauf von Attacken führen die Entwickler in der Warnmeldung aus.