Node.js: Vier kritische Sicherheitslücken mit Höchstwertung in vm2 geschlossen

Die vm2-Sandbox der Open-Source-JavaScript-Laufzeitumgebung Node.js kommt nicht aus den Schlagzeilen heraus und die Entwickler schließen nun ein weiteres Mal „kritische“ Sicherheitslücken. Erneut können Angreifer aus der Sandbox ausbrechen und Host-PCs mit Schadcode kompromittieren.

Kritische Softwareschwachstellen

In der Version 3.11.4 haben die Entwickler mehrere Schwachstellen geschlossen. Darunter sind vier „kritische“ Lücken mit dem höchstmöglichen CVSS Score 10 von 10 (CVE-2026-47208, CVE-2026-47137, CVE-2026-47140, CVE-2026-47131). Um Schadcode ins Hostsystem zu schieben und auszuführen, gibt es mehrere Wege.

Weil die Prozesse process und inspector/promises nicht in der Speerliste von Node.js stehen, können Angreifer daran für einen Sandboxausbruch ansetzen. Außerdem können sie verschiedene Funktionen kombinieren, um mit dem TypeError-Constructor ins Hostsystem zu gelangen.

Noch mehr Gefahren

Node.js: Vier kritische Sicherheitslücken mit Höchstwertung in vm2 geschlossen

Related reading

Fußball: Marc-André ter Stegen fällt offenbar länger aus – WM-Teilnahme in…

Luka Vuskovic: Nach dem Bayern-Spiel schwärmt nicht nur Matthäus von diesem…

Schon wieder verletzt: Davies fällt mehrere Wochen aus - WELT

Luka Vuskovic über Bruder: Wird mehr als bereit sein - WELT

Nach Dopingproben-Wirbel: Magdeburgs Portner gesperrt - WELT

Niederlage in Dortmund: „Nicht so clever“ – HSV analysiert nach drei Elfmetern…