無料スキャン
分析待ちCVE-2026-45411

CVE-2026-45411: RCE in vm2 Node.js Sandbox

プラットフォーム

nodejs

コンポーネント

vm2

修正版

3.11.3

NVDで見る
保存

Node.jsのvm2サンドボックスにおいて、バージョン3.11.3以前には、yield*式を用いた非同期ジェネレータ内でのホスト例外の捕捉により、深刻な脆弱性が存在します。この脆弱性を悪用されると、攻撃者はサンドボックスからコードをエスケープし、ホストシステム上で任意のコマンドを実行できる可能性があります。影響を受けるバージョンは0.0.0から3.11.2です。この脆弱性は、vm2のバージョン3.11.3で修正されています。

影響と攻撃シナリオ

このRCE脆弱性は、攻撃者がNode.jsアプリケーションのサンドボックスを完全にバイパスし、ホストシステムへの完全なアクセス権を取得することを可能にします。攻撃者は、ホストシステム上で任意のコードを実行し、機密情報を盗み出したり、システムを破壊したり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。特に、vm2サンドボックス内で信頼できないコードを実行しているアプリケーションは、この脆弱性によって深刻なリスクにさらされます。この攻撃手法は、サンドボックスの設計思想を根本的に覆すものであり、他のサンドボックス実装にも影響を与える可能性が考えられます。

悪用の状況

この脆弱性は、公開されており、攻撃者が容易に悪用できる可能性があります。現時点では、この脆弱性を積極的に悪用している事例は確認されていませんが、その深刻度を考慮すると、今後悪用されるリスクは高いと考えられます。NVDおよびCISAは、この脆弱性に関する情報を公開しており、セキュリティコミュニティ全体で対応が進められています。この脆弱性は、サンドボックスの設計上の欠陥に起因するものであり、同様の脆弱性が他のサンドボックス実装にも存在する可能性があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

CISA SSVC

悪用状況poc
自動化可能yes
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントvm2
ベンダーpatriksimek
最小バージョン0.0.0
最大バージョン< 3.11.3
修正版3.11.3

弱点分類 (CWE)

CWE-668

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策

この脆弱性への対応策として、まず、vm2をバージョン3.11.3以上にアップデートすることを強く推奨します。アップデートが直ちに困難な場合は、信頼できないコードの実行をサンドボックス外に移動するか、サンドボックス内で実行されるコードを厳密に制限するなどの回避策を検討してください。WAFやプロキシサーバーを使用して、悪意のあるコードの実行を検知およびブロックすることも有効です。また、Node.jsアプリケーションのセキュリティ設定を見直し、不要な権限を削除するなど、セキュリティ強化策を講じることが重要です。

修正方法翻訳中…

Actualice a la versión 3.11.3 o superior para mitigar la vulnerabilidad. Esta versión corrige el problema al manejar correctamente las excepciones dentro de los generadores asíncronos, evitando la posibilidad de escape del sandbox.

よくある質問

CVE-2026-45411 — RCE in vm2 Node.jsサンドボックスとは何ですか?

CVE-2026-45411は、Node.jsのvm2サンドボックスにおけるリモートコード実行(RCE)脆弱性です。yield*式を利用してサンドボックスからコードをエスケープし、ホストシステム上で任意のコマンドを実行できる可能性があります。

CVE-2026-45411 in vm2 Node.jsサンドボックスの影響はありますか?

はい、バージョン0.0.0から3.11.2を使用しているNode.jsアプリケーションは影響を受けます。攻撃者は、この脆弱性を悪用してホストシステム上で任意のコードを実行できる可能性があります。

CVE-2026-45411 in vm2 Node.jsサンドボックスを修正するにはどうすればよいですか?

vm2をバージョン3.11.3以上にアップデートしてください。アップデートが困難な場合は、信頼できないコードの実行をサンドボックス外に移動するか、サンドボックス内で実行されるコードを厳密に制限するなどの回避策を検討してください。

CVE-2026-45411 in vm2 Node.jsサンドボックスは積極的に悪用されていますか?

現時点では、この脆弱性を積極的に悪用している事例は確認されていませんが、その深刻度を考慮すると、今後悪用されるリスクは高いと考えられます。

CVE-2026-45411に関するvm2の公式アドバイザリはどこで入手できますか?

vm2の公式アドバイザリは、通常、GitHubリポジトリまたは関連するセキュリティブログで公開されます。vm2のGitHubリポジトリ(https://github.com/vm2js/vm2)をご確認ください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...