(Bild: Alfa Photo / Shutterstock.com). Angreifer können abermals aus der Node.js-Sandbox vm2 ausbrechen und Schadcode im Hostsystem ausführen. Sicherheitsupdates schaffen Abhilfe.. Die vm2-Sandbox der Open-Source-JavaScript-Laufzeitumgebung Node.js kommt nicht aus den Schlagzeilen heraus und die Entwickler schließen nun ein weiteres Mal „kritische“ Sicherheitslücken. Erneut können Angreifer aus der Sandbox ausbrechen und Host-PCs mit Schadcode kompromittieren.. Kritische Softwareschwachstellen. In der Version 3.11.4 haben die Entwickler mehrere Schwachstellen geschlossen. Darunter sind vier „kritische“ Lücken mit dem höchstmöglichen CVSS Score 10 von 10 (CVE-2026-47208, CVE-2026-47137, CVE-2026-47140, CVE-2026-47131). Um Schadcode ins Hostsystem zu schieben und auszuführen, gibt es mehrere Wege.. Weil die Prozesse process und inspector/promises nicht in der Speerliste von Node.js stehen, können Angreifer daran für einen Sandboxausbruch ansetzen. Außerdem können sie verschiedene Funktionen kombinieren, um mit dem TypeError-Constructor ins Hostsystem zu gelangen.. Noch mehr Gefahren. Eine weitere „kritische“ Lücke (CVE-2026-47210) ermöglicht im Kontext von WebAssembly JSPI einen weiteren Sandboxausbruch. Weiterhin haben die Entwickler noch drei Sicherheitslücken (CVE-2026-47139, CVE-2026-47209, CVE-2026-47135) mit dem Bedrohungsgrad „hoch“ geschlossen. Weiterführende Informationen zu den Lücken finden sich im Sicherheitsbereich der GitHub-Website des Projekts [1].. Seit Anfang Mai sorgt vm2 für Schlagzeilen [2], weil Angreifer die Sandbox überwinden können. Dementsprechend haben die Entwickler jüngst zwei „kritische“ Sicherheitslücken (CVE-2026-26956, CVE-2026-45411) geschlossen. Bislang gibt es seitens der Entwickler keine Warnungen, dass Angreifer die Schwachstellen bereits ausnutzen. Gleichwohl sollten Admins mit dem Patchen nicht zu lange zögern.. (des [4]). URL dieses Artikels:. https://www.heise.de/-11300256. Links in diesem Artikel:. https://github.com/patriksimek/vm2/security/advisories. https://www.heise.de/news/Node-js-25-Ausbrueche-aus-JavaScript-Sandbox-vm2-vorstellbar-11285063.html. https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp. mailto:des@heise.de. Copyright © 2026 Heise Medien
heise security News