Node.js vm2 Kütüphanesinde Kritik Güvenlik Açığı
Son zamanlarda popüler Node.js sandbox kütüphanesi vm2’de kritik bir güvenlik açığı keşfedildi. Bu açık, saldırganların sandbox ortamını aşarak hedef sistemde rastgele kod çalıştırmalarına olanak tanımaktadır.
Saldırı Nasıl Çalışıyor?
Güvenlik sorunu, CVE-2026-26956 kodu ile takip edilmektedir ve etkilenen versiyon 3.10.4 olarak belirtilmiştir; ancak, daha önceki sürümler de etkilenebilir. Açık, Node.js 25 (onaylı olarak Node.js 25.6.1) sürümlerinde WebAssembly istisna işleme ve JSTag desteği etkin olan ortamları etkilemektedir.
vm2, güvenilmeyen JavaScript kodlarını kısıtlı bir sandbox ortamında çalıştırmak için kullanılan açık kaynaklı bir Node.js kütüphanesidir. Bu kütüphane, çevrimiçi kodlama platformları, otomasyon araçları ve kullanıcı tarafından sağlanan betikleri çalıştıran SaaS uygulamaları gibi alanlarda sıklıkla kullanılmaktadır. Kütüphane, sandboxed kodu hedef sistemden izole etmeyi ve duyarlı Node.js API’lerine (örneğin, process ve dosya sistemi) erişimi engellemeyi amaçlamaktadır.
Etkilenen Sistemler
Güvenlik açığı, vm2 kütüphanesinin sandbox ile ana sistem arasındaki istisna yönetimine hatalı bir yaklaşımından kaynaklanmaktadır. CVE-2026-26956 açığı sayesinde, etkileyici bir TypeError tetiklenerek, ana sistemdeki hata objesinin sandbox ortamına izinsiz bir şekilde sızması sağlanabilir. Bu sızan nesne, ana sistemden geldiği için, saldırganlar Node.js iç yapılarına (örneğin, process objesine) erişim sağlayarak, hedef sistemde rastgele komutlar çalıştırabilir.
Çözüm ve Korunma
Vm2 kullanıcılarının, bu güvenlik açığının istismar edilme riskini azaltmak için en kısa sürede v3.10.5 veya üzeri bir versiyona güncelleme yapmaları önerilmektedir. Mevcut en son sürüm ise v3.11.2‘dir. Ayrıca, bu yıl başında vm2’de başka bir kritik sandbox kaçışı hatası daha kaydedilmiştir; bu hata CVE-2026-22709 kodu ile takip edilmektedir. Önceki sandbox kaçışı hataları arasında CVE-2023-30547, CVE-2023-29017 ve CVE-2022-36067 bulunmaktadır.
Bu durum, JavaScript sandbox ortamlarında güvenilmeyen kodların güvenli bir şekilde izole edilmesinin zorluklarını gözler önüne sermektedir. Tüm bu sebeplerden dolayı, kullanıcıların gerekli güncellemeleri hemen yapmaları ve uygulamalarında ek güvenlik önlemleri almaları büyük önem taşımaktadır.
