つみかさね

CVE-2026-26956

Critical(9.8)

CVE-2026-26956 — vm2 完全サンドボックスエスケープによる任意コード実行

公開日: 2026-05-09データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
vm2patriksimek< 3.10.5

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1vm2の利用状況を確認する
  2. 2修正バージョンへのアップデートを実施する
  3. 3根本的にはvm2からの移行を検討する

影響対象

vm2利用者(Node.js)

補足

  • -vm2は複数のサンドボックスエスケープ脆弱性が継続的に発見されています
CVEvm2Node.jsサンドボックスエスケープ

概要

Node.js 向けサンドボックスライブラリ vm2 のバージョン 3.10.4 に、完全なサンドボックスエスケープの脆弱性が存在します。

この脆弱性は他の vm2 のサンドボックスエスケープと比較しても深刻度が高く、VM.run() 内で実行される攻撃者のコードがホストプロセスのオブジェクトを直接取得できます。これにより、ホスト側の協力なしに(つまりホスト側の API を悪用するのではなく)、ホストシステム上で任意のコマンドを実行できます。

CVSS スコアは 9.8(Critical)であり、攻撃はネットワーク経由でリモートから可能で、認証や特権は不要です。サンドボックスの保護機構が完全に無効化されるため、vm2 を利用してユーザー提供コードを実行しているすべてのアプリケーションが影響を受けます。

CVSSベクトル

項目
CVSSスコア9.8
深刻度Critical
ベクトルCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWECWE-94 (コードインジェクション), CWE-693 (保護メカニズムの不備)

影響を受けるソフトウェア

製品ベンダー影響バージョン
vm2patriksimek< 3.10.5

修正バージョンと回避策

  • 修正バージョン: v3.10.5
  • 回避策: 修正バージョンへの即座のアップデートが推奨されます。この脆弱性はホスト側の協力なしに完全なサンドボックスエスケープが可能であるため、アップデートが完了するまでは vm2 を使用したコード実行を完全に停止してください。長期的には、vm2 からコンテナベースの隔離や isolated-vm 等のより安全な代替手段への移行を強く推奨します。

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-24118vm2 サンドボックスエスケープによる任意コマンド実行CVSS 9.8CVE-2026-24120vm2 サンドボックスエスケープ修正不備による任意コマンド実行CVSS 9.8CVE-2026-24781vm2 inspect関数を経由したサンドボックスエスケープCVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-26956
GHSA:https://github.com/patriksimek/vm2/security/advisories/GHSA-ffh4-j6h5-pg66
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。