Die überraschende Rückkehr von vm2: Sicherheitsprobleme und die Dringlichkeit des Updates

Die JavaScript-Sandbox vm2 für Node.js wurde zunächst eingestellt, da sie aufgrund der Komplexität von Node.js nicht mehr gewartet werden konnte. Der Entwickler hatte die Nutzer zu einem alternativen Werkzeug namens isolated-vm aufgefordert. Unmittelbar nach dieser Einstellung kam es jedoch zu einer überraschenden Wiederbelebung des Projekts. Ende 2025 wurde vm2 mit einer neuen Version (3.10) wieder eingeführt, ohne dass klare Motive für diese Entscheidung öffentlich kommuniziert wurden. Parallel dazu entdeckten Forscher eine Sicherheitslücke in vm2, die Ausbrüche aus der Sandbox ermöglichte – ein Problem, das ursprünglich zur Einstellung des Projekts geführt hatte. Diese Schwachstelle ließ Angreifer durch manipulierte Eingaben an bestimmten Callback-Funktionen den sicheren Bereich verlassen und eigenen Code ausführen. Die Schwachstelle wurde mit dem Namen CVE-2026-22709 klassifiziert und erhielt eine Bewertung von CVSS 9.8, was ein kritisches Risiko darstellt. Untersuchungen zeigten, dass die Eingabefilterung in einer relevanten Callback-Funktion fehlte. Um diese Lücke zu schließen, wurde ein Patch implementiert, der die fehlende Filterung ergänzte. Diese Korrektur findet sich in Version 3.10 von vm2. Die Gründe für die Wiederbelebung von vm2 und die mögliche Verbindung zu dieser Sicherheitslücke sind weiterhin unklar. Unabhängig davon ist es für alle Nutzer essenziell, zügig auf die fehlerkorrigierte Version 3.10 zu aktualisieren, um sich vor den Risiken der Schwachstelle zu schützen. Nutzer mit älteren Versionen sollten diesen Schritt umgehend angehen, um ihre Systeme effektiv zu sichern.

Schlagwörter: vm2 + isolated-vm + CVE-2026-22709

Wie bewerten Sie den Schreibstil des Artikels?