概要
Node.js 向けサンドボックスライブラリ vm2 のバージョン 3.11.0 未満に、サンドボックスエスケープの脆弱性が存在します。
vm2 はサンドボックス内で安全にコードを実行するためのライブラリですが、この脆弱性により保護機構が回避され、攻撃者がサンドボックスの外部に脱出できます。脱出に成功した攻撃者は、ホストシステム上で任意のコマンドを実行できるため、サーバーの完全な制御権を奪取される危険性があります。
CVSS スコアは 9.8(Critical)であり、ネットワーク経由でリモートから攻撃可能で、認証や特別な権限も不要です。vm2 を利用してユーザー入力のコードを実行しているアプリケーションは、直ちに対応が必要です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8 |
| 深刻度 | Critical |
| ベクトル | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| CWE | CWE-94 (コードインジェクション), CWE-693 (保護メカニズムの不備) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| vm2 | patriksimek | < 3.11.0 |
修正バージョンと回避策
- 修正バージョン: v3.11.0
- 回避策: 修正バージョンへのアップデートが推奨されます。アップデートが困難な場合は、vm2 を経由したユーザー入力コードの実行を停止してください。根本的には、vm2 は複数のサンドボックスエスケープ脆弱性が繰り返し報告されているため、他の隔離手段(コンテナ、VM、isolated-vm 等)への移行を検討してください。
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。