← Back
CVE-2026-26956
critical
CVSS 9.8
Vulnerability in vm2-project (CVE-2026-26956)
Summary
vulnerability in vm2-project (CVE-2026-26956). Successful exploitation can lead to full system takeover. Exploitable via ``catch``.
AI summary openai / gpt-4o
A severe security issue has been discovered in vm2, an open-source sandbox for Node.js. This vulnerability allows attackers to escape the sandbox and execute arbitrary code on the system, potentially taking over control. Similar issues have occurred in the past, particularly involving the unintended disabling of security mechanisms (CWE-693). The issue is fixed in version 3.10.5, and it is highly recommended that organizations update their software immediately.
The vulnerability in vm2 version 3.10.4 allows attacker code executed inside `VM.run()` to obtain the host process object and execute commands on the host. Affected versions are up to 3.10.4, and the issue is fixed in 3.10.5. The PoC exploits the WASM `try_table` instruction to catch JavaScript exceptions at the C++ level, leading to arbitrary code execution through unsanitized host errors. No workarounds are provided, thus an immediate update is recommended.
❓ What is the problem
vm2の`VM.run()`内でのフルサンドボックスエスケープと任意のコード実行が可能。
📍 Affected scope
vm2 version 3.10.4以下。
🔥 Severity
critical: リモート攻撃可能、認証不要、ユーザー操作不要。
🔧 How to fix
vm2をバージョン3.10.5に更新する。
🛡️ Workaround
素材から特定できず。
🔍 Detection
素材から特定できず。
Related past incidents Similar incidents extracted from past CVEs
Node.jsのsandbox escapeに関連するCVE。
TypeScriptコンパイラによるsandbox escapeの事例。
If this happens at your company Expected impact per business scenario
📌 ECサイトのバックエンドでvm2を利用している場合
攻撃者がサンドボックスを脱出してバックエンドの完全な制御を取得する可能性がある。
📌 社内開発環境で利用している場合
攻撃者が社内の開発サーバで任意のコードを実行できるリスクがある。
📌 マルチテナントサービスの一部としてvm2を使用している場合
一つのテナントが他のテナントやホストシステムを攻撃する可能性がある。
Recommended action
即座にvm2のバージョンを3.10.5にアップデートすること。
Response Actions (7 steps)
Concrete steps and command examples for SOC/SRE teams to execute in order
-
1Identify exposure identify
grep -r 'vm2-project' . | grep -v node_modulesリポジトリと本番環境の依存ファイル (package-lock.json / requirements.txt / go.sum / Gemfile.lock 等) で `vm2-project` を grep し、稼働しているサービス・バージョンを把握する。
-
2Match against affected range verify
Confirm if version satisfies `<= 3.10.4`Step 1 で見つかったバージョンが影響範囲 `<= 3.10.4` に該当するか照合。本番で稼働中ならインシデント扱い。
-
7Post-deployment verification verify
Confirm patched version is live in productionパッチ適用後、ステージングで PoC または同等の悪用パターンを再現して脆弱性が閉じたことを確認。本番では Step 3 と同じログクエリでアラート再発が無いか継続監視。