vm2 Node.js 函式庫漏洞揭露，恐導致沙盒逃脫與任意程式碼執行

開源的 Node.js 函式庫 vm2 近期揭露了十多個嚴重安全漏洞，攻擊者可能利用這些漏洞逃脫沙盒限制，並在受影響的系統上執行任意程式碼。

vm2 是一個開源函式庫，用於透過攔截和代理 JavaScript 物件來在安全的沙盒環境中執行不受信任的 JavaScript 程式碼，以防止沙盒內的程式碼存取主機環境。

此次安全漏洞的揭露，發生在 vm2 的維護者 Patrik Simek 發布了另一個嚴重的沙盒逃脫漏洞（CVE-2026-22709，CVSS 評分為 9.8）的修補程式幾個月後，該漏洞可能導致在底層主機系統上執行任意程式碼。

新識別出的這一系列沙盒逃脫漏洞，凸顯了在基於 JavaScript 的沙盒環境中安全隔離不受信任程式碼所面臨的挑戰。Simek 先前也曾承認，未來很可能會發現新的繞過方法。建議 vm2 的使用者更新至最新版本（3.11.2）以獲得最佳保護。