概要
Node.js 向けサンドボックスライブラリ vm2 のバージョン 3.11.0 未満に、inspect 関数を経由したサンドボックスエスケープの脆弱性が存在します。
vm2 はサンドボックス環境内でコードを安全に実行するために設計されていますが、inspect 関数の処理に不備があり、この関数を悪用することでサンドボックスの保護境界を越えることが可能です。攻撃者はこの脆弱性を利用してサンドボックスを脱出し、ホストシステム上で任意のコマンドを実行できます。
CVSS スコアは 9.8(Critical)であり、攻撃は認証不要でネットワーク経由から実行可能です。inspect 関数という具体的な攻撃経路が特定されている点が特徴的で、vm2 を利用しているシステムでは直ちにアップデートを実施する必要があります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8 |
| 深刻度 | Critical |
| ベクトル | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| CWE | CWE-94 (コードインジェクション), CWE-693 (保護メカニズムの不備) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| vm2 | patriksimek | < 3.11.0 |
修正バージョンと回避策
- 修正バージョン: v3.11.0
- 回避策: 修正バージョンへのアップデートが推奨されます。アップデートが困難な場合は、vm2 を使用したコード実行を停止してください。vm2 は同時期に複数のサンドボックスエスケープ脆弱性が報告されており、ライブラリ自体の安全性に根本的な懸念があります。コンテナ技術や isolated-vm など、より堅牢な隔離手段への移行を検討してください。
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。