← 戻る

CVE-2026-24120 critical CVSS 9.8

vm2-project にコードインジェクション (CVE-2026-24120)

概要

vm2-project にコードインジェクション (CVE-2026-24120) が存在。悪用されるとシステム全体を乗っ取られる可能性があります。``resetPromiseSpecies`` 経由で攻撃可能。

AI要約 openai / gpt-4o

vm2というNode.js用のサンドボックスに重大なセキュリティ問題が発生しました。攻撃者はサンドボックスから脱出し、任意のコードを実行するため、ホストシステム全体が危険にさらされます。この問題はバージョン3.10.5で修正されていますので、速やかなアップデートが推奨されます。過去には類似の問題でシステムが乗っ取られる被害が発生しており、注意が必要です。

この脆弱性は、vm2サンドボックスバージョン<= 3.10.3に存在し、Promiseオブジェクトを通じたホストシステムでのコード実行を許します。修正は3.10.5で行われています。脆弱性により、攻撃者は`Object.defineProperty`と`Symbol.species`を利用してホストの`process`オブジェクトを取得し、コマンドを実行できる状態を作ります。影響を受ける環境では、すぐにパッチを適用してください。

❓ 何が問題か

vm2-project に **任意コード実行** (CWE-94) があります。攻撃者は ``resetPromiseSpecies`` を経由して脆弱な処理に到達し、認証なしで悪用できます。

📍 影響範囲

vm2-project のうち影響範囲: `<= 3.10.3`。攻撃箇所: `resetPromiseSpecies` / `species` / `Object.defineProperty`。

🔥 重要度

重要度: 最重要 (CVSS 9.8/10)。悪用されるとシステム全体を乗っ取られる可能性があります

🔧 修正方法

ベンダー公式アドバイザリの修正版に更新してください。(修正前: `<= 3.10.3` 該当バージョンが本番稼働中なら直ちに更新計画を立案)

🛡️ 暫定回避

修正版が未提供時は、影響機能の無効化・WAFルール・ネットワークACLでの遮断を検討。

🔍 検知方法

Webサーバ・プロキシ・WAFログで該当CVEのIOCに合致する不審リクエストを検索。SBOM/依存ファイルで影響バージョンを横断確認。

類似する過去の事例過去のCVE/インシデントから類似事例を抽出

CVE-2023-37466

Previous issue in vm2 relating to sandbox escape capabilities.

CVE-2022-24771

Another instance of vm2 allowing sandbox escape.

もし自社で起きたら業務シナリオごとの想定影響

📌 Web hosting service using vm2 for customer environments

Could enable attackers to escape from a sandboxed environment, leading to full system control.

📌 IoT devices employing Node.js and vm2 for execution isolation

Potential for remote takeover of devices.

📌 Enterprises using vm2 for running untrusted code

Risk of data leaks and unauthorized command execution on server infrastructure.

推奨アクション

Organizations should urgently update to vm2 version 3.10.5 to mitigate this risk.

対応アクション (7段階)

SOC/SREチームが順番に実行すべき具体的なステップとコマンド例

1
影響範囲の特定 identify
```
grep -r 'vm2-project' . | grep -v node_modules
```
リポジトリと本番環境の依存ファイル (package-lock.json / requirements.txt / go.sum / Gemfile.lock 等) で `vm2-project` を grep し、稼働しているサービス・バージョンを把握する。
2
バージョン照合 verify
```
Confirm if version satisfies `<= 3.10.3`
```
Step 1 で見つかったバージョンが影響範囲 `<= 3.10.3` に該当するか照合。本番で稼働中ならインシデント扱い。
7
事後検証 verify
```
Confirm patched version is live in production
```
パッチ適用後、ステージングで PoC または同等の悪用パターンを再現して脆弱性が閉じたことを確認。本番では Step 3 と同じログクエリでアラート再発が無いか継続監視。

参照URL

exploit 134c704f-9b21-4f2e-91b3-4a467353bcc0
web [email protected]

メタデータ

CVE: CVE-2026-24120
公開日: 2026-05-04
SecPulse初出: 5日前
初出ソース: NIST National Vulnerability Database

タグ (クリックで解説)

言語

JavaScript

CWE

CWE-94: コードインジェクション Cwe 693

すべて

Vm2 Project Vm2 Nodejs Sandbox Escape Security Promises Cve 2023 37466 Remote Execution Sandbox Escape Javascript Security

攻撃タイプ

リモートコード実行 (RCE)

パッケージ系

npm

CWE

CWE-94 CWE-693

検知ソース

NIST National Vulnerability Database 1日前

概要

AI要約 openai / gpt-4o

類似する過去の事例 過去のCVE/インシデントから類似事例を抽出

もし自社で起きたら 業務シナリオごとの想定影響

対応アクション (7段階)

参照URL

🍪 Cookie について

類似する過去の事例過去のCVE/インシデントから類似事例を抽出

もし自社で起きたら業務シナリオごとの想定影響