VM2’de kritik bir sanal alan kaçış güvenlik açığı belirlendi. Yaygın olarak kullanılan bu Node.js kitaplığı, güvenilmeyen kodun yürütülmesi için korumalı alan yalıtımı sağlar.
CVE-2026-22709 (GHSA-99p7-6v5w-7xg8) olarak takip edilen kusur, 3.10.0’a kadar olan tüm sürümleri etkiliyor ve maksimum ciddiyeti gösteren 10.0 CVSS v3.1 temel puanına sahip.
Güvenlik açığı, Promise prototipinin işlenmesinde eksik geri arama temizliğinden kaynaklanıyor.
VM2 geliştiricileri localPromise.prototype.then için geri aramaları arındırmış olsa da, temizleme işlemi globalPromise.prototype.then için geçerli değildir.
Eşzamansız işlevler yerel olanlar yerine genel Promise nesneleri döndürdüğünden, saldırganlar sanal alan kısıtlamalarını atlayabilir ve temeldeki ana bilgisayar sisteminde kod yürütme ayrıcalıkları elde edebilir.
VM2 Korumalı Alanı Güvenlik Açığı
Güvenlik açığı, söz zincirleri genelinde geri arama temizliğindeki asimetriden yararlanıyor.
Araştırmacılar Promise.prototype.catch geri aramalarının hata yığını manipülasyonu yoluyla değiştirilebileceğini keşfetti.
| CVE Kimliği | Paket | Etkilenen Sürümler | CVSS Puanı | Güvenlik Açığı Türü | Saldırı Vektörü |
|---|---|---|---|---|---|
| CVE-2026-22709 | vm2 (npm) | ≤ 3.10.0 | 10.0 | Sandbox’tan Kaçış | Ağ |
Saldırgan, sembolik bir ada sahip bir hata nesnesi oluşturarak ve bir eşzamansız işlevi tetikleyerek, Error yapıcısına erişim kazanır ve bu da sonuçta İşlev yapıcısı aracılığıyla rastgele kod yürütülmesine olanak tanır.
Saldırı zinciri, rastgele yük koduyla bir Function nesnesini başlatmak için bu ilerlemeden yararlanır.
Kavram kanıtlama gösterilerinde saldırganlar, sandbox izolasyon katmanını tamamen aşarak, child_process modülüne erişim yoluyla execSync() gibi sistem komutlarını başarıyla yürüttüler.
VM2 bakımcıları, kusuru gidermek için yamalı bir sürüm olan 3.10.2 sürümünü yayınladı.
Bu güncelleme, Promise geri aramalarını hem yerel hem de global prototip zincirlerinde düzgün bir şekilde temizleyerek korumalı alan kaçış vektörünü kapatıyor.
VM2 kullanan kuruluşların derhal 3.10.2 veya sonraki bir sürüme yükseltme yapması gerekir.
Paketin kurucu ortağı Patrik Šimek, iki gün önce aktif bakımı ve güvenlik sorununa hızlı yanıtı gösteren bir GitHub tavsiyesi yayınladı.
Kod korumalı alan oluşturma için VM2’ye güvenen geliştirme ekipleri, bunu kritik bir öncelik olarak ele almalıdır.
Etkilenen dağıtımları belirlemek için geliştirme ve üretim ortamlarında anında envanter değerlendirmeleri yapın.
Sürüm 3.10.2’yi gecikmeden paket yönetimi kanalınız aracılığıyla dağıtın ve güvenlik açığı bulunan sürümlerde hiçbir üretim örneğinin kalmadığını doğrulayın.
Düzeltme eki uygulama tamamlanana kadar VM2 yürütme bağlamlarını yalnızca güvenilir kodla sınırlamayı düşünün.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
