Siber Güvenlik

Kritik vm2 Kütüphanesi Açıkları: Sandbox Kaçışı ve Kod İhlali Tehlikesi

teknomers
teknomers

Önemli Güvenlik Açıkları: vm2 Kütüphanesinde Sandbox Kaçışı

Son zamanlarda vm2 Node.js kütüphanesinde tespit edilen on iki kritik güvenlik açığı, kötü niyetli aktörlerin sandbox’dan çıkmasını ve etkilenen sistemlerde rastgele kod çalıştırmasını sağlayabilir. Bu durum, siber güvenlik açısından ciddi bir tehdit oluşturmaktadır.

Contents

vm2 Nedir?

vm2, güvenli bir sandbox içinde güvenilir olmayan JavaScript kodunu çalıştırmak için kullanılan açık kaynaklı bir kütüphanedir. Bu kütüphane, JavaScript nesnelerini yakalayıp yönlendirerek sandbox içindeki kodun ana ortama erişimini engeller.

Sorunlu Güvenlik Açıkları

Aşağıda, vm2 kütüphanesinde tespit edilen güvenlik açıkları sıralanmaktadır:

  • CVE-2026-24118 (CVSS puanı: 9.8) – “__lookupGetter__” aracılığıyla sandbox kaçışı sağlayan ve bir saldırganın ana sistemde rastgele kod çalıştırmasına izin veren bir zafiyet.
  • CVE-2026-24120 (CVSS puanı: 9.8) – CVE-2023-37466 zafiyetinin (CVSS puanı: 9.8) bir yamanın atlanmasını sağlayan bir zafiyet.
  • CVE-2026-24781 (CVSS puanı: 9.8) – “inspect” fonksiyonu aracılığıyla sandbox kaçışına izin veren bir zafiyet.
  • CVE-2026-26332 (CVSS puanı: 9.8) – “SuppressedError” üzerinden sandbox kaçışı sağlayan bir zafiyet.
  • CVE-2026-26956 (CVSS puanı: 9.8) – Symbol-to-string dönüşümü tarafından tetiklenen bir TypeError ile sandbox kaçışına izin veren koruma mekanizması hatası.
  • CVE-2026-43997 (CVSS puanı: 10.0) – Ana sistemde rastgele kod çalıştırılmasına yol açan bir kod enjekte etme zafiyeti.
  • CVE-2026-43999 (CVSS puanı: 9.9) – NodVM’in yerleşik izin listesini atlatan bir zafiyet.
  • CVE-2026-44005 (CVSS puanı: 10.0) – Saldırı altındaki JavaScript’in sandbox’tan çıkmasına ve prototype kirlenmesine izin veren bir zafiyet.
  • CVE-2026-44006 (CVSS puanı: 10.0) – “BaseHandler.getPrototypeOf” aracılığıyla sandbox kaçışına yol açan bir kod enjekte etme zafiyeti.
  • CVE-2026-44007 (CVSS puanı: 9.1) – Yanlış erişim kontrolü zafiyeti.
  • CVE-2026-44008 (CVSS puanı: 9.8) – “neutralizeArraySpeciesBatch()” aracılığıyla sandbox’tan kaçışına izin veren bir zafiyet.
  • CVE-2026-44009 (CVSS puanı: 9.8) – Null proto istisnası aracılığıyla sandbox kaçışına izin veren bir zafiyet.

Korunma Önerileri

Bu güvenlik açıkları, vm2 kullanıcısı olan herkes için büyük bir tehdit oluşturuyor. Kullanıcılara, en son sürüme (3.11.2) güncellemelerini şiddetle öneriyoruz. Ek olarak:

  • Eski sürümlerin kullanılmasını engelleyin.
  • Güvenlik izinlerini ve erişim gereksinimlerini gözden geçirin.
  • Sandbox ortamlarını sürekli izleyin ve güvenlik denetimleri yapın.

Bu önlemlerle, sistemlerinizde potansiyel olarak oluşabilecek tehlikeleri azaltabilirsiniz.

Araştırmacı, Ivanti Endpoint Manager’ın Çoklu Versiyonlarındaki Kritik Kusurları Ortaya Çıkardı
Başarılı Bir Tehdit Avı Programının Kazanımları
Microsoft Copilot Verilerinin Açığa Çıkmasını Önleme
Aktif Suistimal Altındaki Yeni MOVEit Transfer Güvenlik Açığı
ABD Siber Komutanlığı, APUS’u Yeni Oluşturulan Akademik Ağa Üye Olarak Ekledi
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Yakuza Evreninde Yeni Bir Sayfa: Yıldızlarla Dolu Ön Hikaye
Sonraki Makale İnfluencer Kalitesinde ve Tam Profille Eski Gmail Hesapları Satın Alın

Sanal Medya

Son Eklenenler

AION 2’nin Çıkış Tarihi Yaz Oyun Festivali’nde Duyuruldu
Oyun
OpenAI Hassas Verileri Koruma İçin Lockdown Modunu Tanıttı
Genel
RAM fiyatları yıl sonuna kadar iki katına çıkacak, indirimler eski stokları eritmekten kaynaklanıyor
Donanım
Meta Kendi Yapay Zeka Tabanlı Tıklama Tuzağı Haber Akışını Yaratıyor
Liste
Final Fantasy 7 Minigame Yenilikleriyle Seçim Heyecanı Sunuyor
Oyun
1972’de 8 inçlik, 80KB’lik disklerin patenti alındı
Donanım