Die JavaScript-Sandbox vm2 f\u00fcr Node.js wurde zun\u00e4chst eingestellt, da sie aufgrund der Komplexit\u00e4t von Node.js nicht mehr gewartet werden konnte. Der Entwickler hatte die Nutzer zu einem alternativen Werkzeug namens isolated-vm aufgefordert. Unmittelbar nach dieser Einstellung kam es jedoch zu einer \u00fcberraschenden Wiederbelebung des Projekts. Ende 2025 wurde vm2 mit einer neuen Version (3.10) wieder eingef\u00fchrt, ohne dass klare Motive f\u00fcr diese Entscheidung \u00f6ffentlich kommuniziert wurden. Parallel dazu entdeckten Forscher eine Sicherheitsl\u00fccke in vm2, die Ausbr\u00fcche aus der Sandbox erm\u00f6glichte \u2013 ein Problem, das urspr\u00fcnglich zur Einstellung des Projekts gef\u00fchrt hatte. Diese Schwachstelle lie\u00df Angreifer durch manipulierte Eingaben an bestimmten Callback-Funktionen den sicheren Bereich verlassen und eigenen Code ausf\u00fchren. Die Schwachstelle wurde mit dem Namen CVE-2026-22709 klassifiziert und erhielt eine Bewertung von CVSS 9.8, was ein kritisches Risiko darstellt. Untersuchungen zeigten, dass die Eingabefilterung in einer relevanten Callback-Funktion fehlte. Um diese L\u00fccke zu schlie\u00dfen, wurde ein Patch implementiert, der die fehlende Filterung erg\u00e4nzte. Diese Korrektur findet sich in Version 3.10 von vm2. Die Gr\u00fcnde f\u00fcr die Wiederbelebung von vm2 und die m\u00f6gliche Verbindung zu dieser Sicherheitsl\u00fccke sind weiterhin unklar. Unabh\u00e4ngig davon ist es f\u00fcr alle Nutzer essenziell, z\u00fcgig auf die fehlerkorrigierte Version 3.10 zu aktualisieren, um sich vor den Risiken der Schwachstelle zu sch\u00fctzen. Nutzer mit \u00e4lteren Versionen sollten diesen Schritt umgehend angehen, um ihre Systeme effektiv zu sichern.<\/p>\n
Schlagw\u00f6rter: vm2 + isolated-vm + CVE-2026-22709<\/p>\n","protected":false},"excerpt":{"rendered":"
Die JavaScript-Sandbox vm2 f\u00fcr Node.js wurde zun\u00e4chst eingestellt, da sie aufgrund der Komplexit\u00e4t von Node.js nicht mehr gewartet werden konnte. Der Entwickler hatte die Nutzer zu einem alternativen Werkzeug namens isolated-vm aufgefordert. Unmittelbar nach dieser Einstellung kam es jedoch zu einer \u00fcberraschenden Wiederbelebung des Projekts. Ende 2025 wurde vm2 mit...<\/p>\n","protected":false},"author":4,"featured_media":15450,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-15451","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/15451","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15451"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/15451\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/15450"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15451"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15451"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15451"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}