vm2
Песочница оказалась дырявым ведром. Очередной способ взломать Node.js уже гуляет по сети
Исправить положение дел быстро не выйдет, и на это есть причины.
CVE-2026-22709, произвольный код на хосте и миллионы уязвимых установок. Почему баг в vm2 — это катастрофа для Node.js экосистемы
Все версии vm2 ниже 3.10.2 уязвимы к атаке.
Эксплоит в библиотеке VM2 позволяет хакеру обойти средства защиты Java
PoC-эксплоит показывает, чем грозит новая уязвимость для миллионов приложений.
Обнаружена опасная RCE-уязвимость в Backstage от Spotify
Исследователи Oxeye обнаружили более 500 открытых экземпляров Backstage, которые могли быть использованы злоумышленниками.
Злоумышленники научились сбегать из JavaScript-песочницы vm2
В этом им помогает критическая RCE уязвимость, позволяющая обойти vm2 и выполнить произвольный код.