Mehrere kritische Schwachstellen in vm2
- Sicherheitshinweis
Mehrere Sicherheitslücken mit maximaler Einstufung wurden in der Node.js-Sandbox vm2 behoben. Die Lücken ermöglichen sogar einen Ausbruch aus der vm2-Sandbox mit nachfolgender Remote Code Execution. Aufgrund dieser großen Gefahr sollten Betreibende die Updates schnellstmöglich installieren.
© Adobe Stock
Ausbruch aus Sandbox
Kurzbeschreibung der behobenen Lücken:
- CVE-2026-47131 (CVSS-Base-Score: 10/10): Ausbruch aus Sandbox
- CVE-2026-47208 (10/10): Ausbruch aus Sandbox
- CVE-2026-47137 (10/10): Ausbruch aus Sandbox
- CVE-2026-47210 (9.8/10): Ausbruch aus Sandbox
- CVE-2026-47140 (10/10): Ausbruch aus Sandbox
- CVE-2026-47135 (8.7/10): Sicherheitsvorkehrungen umgehen.
Bei allen Schwachstellen, die einen Sandbox-Ausbruch ermöglichen, ist im Anschluss Remote Code Execution eine potenzielle Folge. Zwar sind noch keine Hinweise auf eine aktive und erfolgreiche Ausnutzung bekannt. Durch den veröffentlichten Proof of Concept ist die Wahrscheinlichkeit für eine Ausnutzung jedoch deutlich erhöht. Betroffen sind alle Versionen des Produkts bis einschließlich 3.11.3.
Dies berichten GitHub und das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Empfehlung
Aktualisieren Sie vm2 rasch auf Version 3.11.4.