CRITICALCVE-2026-27597CVSS 10

@enclave-vm/core は Sandbox Escape の脆弱性を持っています

Q: CVE-2026-27597 — RCE in @enclave-vm/coreとは何ですか？

CVE-2026-27597は、@enclave-vm/coreにおいて、セキュリティ境界からの脱出を可能にし、リモートコード実行(RCE)を引き起こす脆弱性です。攻撃者は、この脆弱性を悪用して、システムを完全に制御する可能性があります。

Q: CVE-2026-27597 in @enclave-vm/coreの影響はありますか？

はい、@enclave-vm/coreのバージョン2.11.1より前のバージョンを使用している場合は、影響を受けます。この脆弱性を悪用されると、システムへの深刻な影響が想定されます。

Q: CVE-2026-27597 in @enclave-vm/coreを修正するにはどうすればよいですか？

@enclave-vm/coreをバージョン2.11.1にアップデートすることで、この脆弱性を修正できます。アップデートが一時的にシステムに影響を与える可能性がある場合は、ロールバック手順を事前に準備しておくことを推奨します。

Q: CVE-2026-27597に関する@enclave-vm/coreの公式アドバイザリはどこで入手できますか？

@enclave-vm/coreの公式アドバイザリは、通常、プロジェクトのウェブサイトまたはGitHubリポジトリで公開されます。詳細については、@enclave-vm/coreのドキュメントを参照してください。

プラットフォーム

nodejs

コンポーネント

@enclave-vm/core

修正版

2.11.2

2.11.1

AI Confidence: highNVDEPSS 0.5%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-27597は、@enclave-vm/coreにおいて、セキュリティ境界からの脱出を可能にする脆弱性です。この脆弱性を悪用されると、リモートコード実行(RCE)が実現され、システムへの深刻な影響が想定されます。影響を受けるバージョンは2.11.1より前のバージョンであり、バージョン2.11.1へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がSafeObjectラッパーの代わりにネイティブObjectコンストラクタを取得することを可能にします。これにより、Object.getOwnPropertyDescriptorsを使用してプロパティ記述子を取得し、サンドボックスによって制限されるプロパティへのアクセスが可能になります。特に、メモリ制限が設定されている場合、hostmemorytrackというホストオブジェクトを介して脱出が可能となり、ホスト環境へのアクセスを試みられる可能性があります。攻撃者は、この脆弱性を悪用して、機密情報を盗み出し、システムを完全に制御する可能性があります。この攻撃は、ホスト環境の脆弱性を利用する形で展開される可能性があり、影響範囲は広がる可能性があります。

悪用の状況

この脆弱性は、2026年2月25日に公開されました。現時点では、公開されているPoCは確認されていませんが、リモートコード実行を可能にする重大な脆弱性であるため、悪用される可能性は高いと考えられます。CISA KEVカタログへの登録状況は不明ですが、CVSSスコアが10（CRITICAL）であることから、潜在的なリスクは高いと評価されます。

リスク対象者翻訳中…

Applications utilizing the @enclave-vm/core Node.js module, particularly those relying on its security sandbox for sensitive operations, are at risk. This includes applications handling untrusted data or performing operations with elevated privileges. Developers using older versions of the module and those with default configurations (memory limits enabled) are particularly vulnerable.

検出手順翻訳中…

• nodejs / module:

  npm list @enclave-vm/core

• nodejs / module: Check for versions prior to 2.11.1. • nodejs / module: Examine application code for usage of Object.getOwnPropertyDescriptors within the context of @enclave-vm/core.

攻撃タイムライン

2026-02-25Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート7 件の脅威レポート

EPSS

0.50% (66% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネント@enclave-vm/core

ベンダーosv

影響範囲修正版

< 2.11.1 – < 2.11.12.11.2

—2.11.1

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2026-02-20
公開日2026-02-25
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まず、@enclave-vm/coreをバージョン2.11.1にアップデートすることを推奨します。アップデートが一時的にシステムに影響を与える可能性がある場合は、ロールバック手順を事前に準備しておく必要があります。また、WAFやプロキシサーバーのルールを調整し、不審なリクエストをブロックすることも有効です。さらに、この脆弱性の悪用を検知するためのシグネチャ（Sigma/YARAパターン）を開発し、セキュリティシステムに導入することも重要です。アップデート後、Object.getOwnPropertyDescriptorsの使用状況を監視し、異常なアクセスがないか確認することで、脆弱性の影響を検証できます。

修正方法

パッケージ `@enclave-vm/core` をバージョン 2.11.1 以降にアップデートしてください。これにより、サンドボックスエスケープの脆弱性が修正され、潜在的なリモートコード実行を防ぐことができます。`npm install @enclave-vm/core@latest` を実行してアップデートしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-27597 — RCE in @enclave-vm/coreとは何ですか？