CVE-2026-22709 – IoT OT Security News

vm2 JavaScript サンドボックスの脆弱性 CVE-2026-22709 が FIX：サニタイズ不備による RCE の恐れ

Critical vm2 Flaw Lets Attackers Bypass Sandbox and Execute Arbitrary Code in Node.js

2026/01/27 gbhackers — vm2 JavaScript サンドボックス・ライブラリのバージョン 3.10.0 以下に、深刻な脆弱性 CVE-2026-22709 が存在することが判明した。この脆弱性を悪用する攻撃者は、サンドボックス保護を回避し、認証／ユーザー操作を一切必要とせず、完全なシステム権限で任意のコードを実行し得る。この欠陥は Promise コールバック関数の不適切なサニタイズ処理に起因するものだ。

API (238)
APT (523)
Asia (398)
AuthN AuthZ (793)
BruteForce (67)
BugBounty (76)
CyberAttack (3,259)
DarkWeb (228)
DataBreach (550)
DataLeak (194)
DDoS (164)
DoubleExtortion (15)
Exploit (1,413)
Literacy (2,342)
LOLbin (57)
MageCartAttack (14)
Malware (1,439)
MCP (16)
MisConfiguration (58)
NHI (8)
Outage (106)
ParadigmShift (181)
Privacy (241)
Protection (649)
RaaS (122)
Ransomware (728)
RAT (778)
Repository (331)
Research (1,210)
Resilience (133)
Scammer (614)
SecTools (226)
SocialEngineering (48)
SupplyChain (413)
TTP (1,001)
Uncategorized (12)
Vulnerability (4,680)
WateringHoleAttack (4)
Zero Trust (382)
_AI/ML (343)
_CDN (4)
_Cloud (365)
_Container (73)
_CryptCcurrency (40)
_Defence (162)
_Education (8)
_Finance (161)
_Government (1,057)
_HealthCare (47)
_Human (51)
_ICS (85)
_IDS/IPS (182)
_Industry (221)
_Infrastructure (129)
_Mobile (162)
_OpenSource (1,392)
_PLC (39)
_Regulation (158)
_Retail (77)
_RTOS (6)
_Space (26)
_Statistics (417)
_Storage (70)
_Telecom (77)
_Transportation (56)