概要
Node.js 向けサンドボックスライブラリ vm2 のバージョン 3.10.5 未満に、サンドボックスエスケープの脆弱性が存在します。
この脆弱性は、過去に報告された CVE-2023-37466 に対する修正が不十分であったことに起因します。CVE-2023-37466 の修正パッチを回避する手法が発見され、攻撃者は再びサンドボックスの保護機構を突破できるようになりました。サンドボックスを脱出した攻撃者は、ホストシステム上で任意のコマンドを実行可能です。
CVSS スコアは 9.8(Critical)で、ネットワーク経由のリモート攻撃が可能であり、認証や特権も不要です。過去の修正を適用済みであっても、3.10.5 未満のバージョンを利用している場合は脆弱な状態にあるため、速やかなアップデートが必要です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8 |
| 深刻度 | Critical |
| ベクトル | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| CWE | CWE-94 (コードインジェクション), CWE-693 (保護メカニズムの不備) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| vm2 | patriksimek | < 3.10.5 |
修正バージョンと回避策
- 修正バージョン: v3.10.5
- 回避策: 修正バージョンへのアップデートが推奨されます。アップデートが困難な場合は、vm2 を経由したユーザー入力コードの実行を停止してください。vm2 は過去の修正が繰り返し回避されている経緯があり、根本的にはコンテナや VM、isolated-vm 等の別の隔離手段への移行を強く推奨します。
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。