Giriş
Popüler Node.js kütüphanesi vm2’de tespit edilen kritik bir sandbox kaçış açığı, saldırganların saldırganların altındaki işletim sisteminde rastgele kod çalıştırmalarına olanak tanıyor. Bu zafiyet, yazılım güvenliğini tehdit eden önemli bir risk kaynağı olmaktadır.
Saldırı Nasıl Çalışıyor?
Yeni keşfedilen bu açıklık, CVE-2026-22709 olarak takip edilmektedir ve CVSS skoru 9.8/10.0 olarak belirlenmiştir. vm2 versiyon 3.10.0’da, `Promise.prototype.then` ve `Promise.prototype.catch` callback’lerinin sanitizasyonu aşılabiliyor ve bu da saldırganların sandbox’tan kaçıp rastgele kod çalıştırabilmesine olanak tanıyor.
Açıklığın kaynağı, kütüphanenin Promise handler’larının uygun şekilde temizlenmemesi nedeniyle oluşan kaçış vektörüdür. JavaScript’teki asenkron fonksiyonların globalPromise nesneleri döndürmesi, <strong>globalPromise.prototype.then</strong> ve <strong>globalPromise.prototype.catch</strong>‘in düzgün bir şekilde temizlenmemesi, sıranın dışına çıkmasına neden oluyor.
Etkilenen Sistemler
vm2 kütüphanesinin bu açığı, aşağıdaki versiyonları etkilemektedir:
- vm2
- Diğer daha eski versiyonlar: CVE-2022-36067, CVE-2023-29017, CVE-2023-29199, CVE-2023-30547, CVE-2023-32314, CVE-2023-37466, CVE-2023-37903
Çözüm ve Korunma
CVE-2026-22709 açığı, vm2 versiyon 3.10.2‘de giderilmiştir. Ancak, bu kütüphanedeki açıklar son yıllarda sürekli olarak ortaya çıkmaktadır. vm2’nin bakımcıları, kullanıcıların kütüphaneyi güncel tutmalarını ve daha sağlam izolasyon garantileri sunan alternatifler, örneğin isolated-vm kullanmalarını önermektedir.
Sonuç
Tespit edilen açık nedeniyle, kullanıcıların en son sürüme (şu anki en son sürüm 3.10.3) güncellemeleri ve gerekirse dikkatlice sistemlerini yeniden yapılandırmaları önerilmektedir. Aksi takdirde, siber saldırılara maruz kalma riski artmaktadır.
