ログイン 新規登録
JA · EN · FR
SecPulse
← 戻る
その他
CVE-2026-24118 critical CVSS 9.8

vm2-project に コードインジェクション (CVE-2026-24118)

その他 開発者ツール

概要

vm2-project に コードインジェクション (CVE-2026-24118) が存在。悪用されるとシステム全体を乗っ取られる可能性があります。``__lookupGetter__`` 経由で攻撃可能。

AI要約 openai / gpt-4o

Node.js用のライブラリvm2に重大な脆弱性があり、パッチを適用しなければ攻撃者がこのライブラリを通じてサーバーの制御を奪う可能性があります。この問題はバージョン3.11.0で修正されていますので、早急にアップデートが推奨されます。この脆弱性は過去にHeartbleed問題のように深刻なリスクをもたらす可能性があります。
Node.js用の仮想マシンライブラリvm2におけるサンドボックス突破の脆弱性です。影響バージョンは3.10.4以下で、3.11.0で修正されています。`__lookupGetter__`メソッドを悪用し、`Buffer.apply`を介してホスト側の`apply`メソッドを呼び出すことで、任意のコードをホスト環境で実行可能です。暫定的な回避策は提供されておらず、最新版へのアップデートが必要です。
❓ 何が問題か
vm2-project に **任意コード実行** (CWE-94) があります。攻撃者は ``__lookupGetter__`` を経由して脆弱な処理に到達し、認証なしで悪用できます。
📍 影響範囲
vm2-project のうち 影響範囲: `<= 3.10.4`。攻撃箇所: `__lookupGetter__` / `apply` / `Buffer.apply` / `Buffer`。
🔥 重要度
重要度: 最重要 (CVSS 9.8/10)。悪用されるとシステム全体を乗っ取られる可能性があります
🔧 修正方法
ベンダー公式アドバイザリの修正版に更新してください。(修正前: `<= 3.10.4` 該当バージョンが本番稼働中なら直ちに更新計画を立案)
🛡️ 暫定回避
修正版が未提供時は、影響機能の無効化・WAFルール・ネットワークACLでの遮断を検討。
🔍 検知方法
Webサーバ・プロキシ・WAFログで該当CVEのIOCに合致する不審リクエストを検索。SBOM/依存ファイルで影響バージョンを横断確認。

類似する過去の事例 過去のCVE/インシデントから類似事例を抽出

CVE-2022-22965
Similar vulnerability in Spring Framework allowing RCE via data binding.
CVE-2014-0160
Heartbleed vulnerability where memory leak allowed sensitive data exposure.
CVE-2021-44228
Log4Shell vulnerability in Apache Log4j allowing RCE via JNDI lookup.

もし自社で起きたら 業務シナリオごとの想定影響

📌 Web-based application
The attacked system could be fully compromised, allowing data theft and unauthorized access to resources.
📌 Internal business application
Critical business processes could be disrupted, leading to loss of productivity and financial damage.
📌 Cloud-based service provider
The provider's systems could be used to further launch attacks on client systems, damaging reputation and leading to compliance issues.
推奨アクション
Company should immediately upgrade to vm2 version 3.11.0 and review systems for signs of past exploitation.

対応アクション (7段階)

SOC/SREチームが順番に実行すべき具体的なステップとコマンド例

  1. 1
    影響範囲の特定 identify 
    grep -r 'vm2-project' . | grep -v node_modules

    リポジトリと本番環境の依存ファイル (package-lock.json / requirements.txt / go.sum / Gemfile.lock 等) で `vm2-project` を grep し、稼働しているサービス・バージョンを把握する。

  2. 2
    バージョン照合 verify 
    Confirm if version satisfies `<= 3.10.4`

    Step 1 で見つかったバージョンが影響範囲 `<= 3.10.4` に該当するか照合。本番で稼働中ならインシデント扱い。

  3. 7
    事後検証 verify 
    Confirm patched version is live in production

    パッチ適用後、ステージングで PoC または同等の悪用パターンを再現して脆弱性が閉じたことを確認。本番では Step 3 と同じログクエリでアラート再発が無いか継続監視。

参照URL

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →