vm2 – IoT OT Security News

vm2 Node.js Sandbox ライブラリの 11 件の脆弱性：任意のコード実行などの可能性

Critical vm2 Node.js Library Flaws Enable Arbitrary Code Execution Attacks

2026/05/07 gbhackers — vm2 に存在する、Critical なサンドボックス・エスケープの脆弱性群が公開された。Node.js で広く使用されるサンドボックス・ライブラリである、vm2 の脆弱性を悪用する攻撃者は、隔離された実行環境から脱出してホスト・システム上で任意のコマンド実行を可能にする。数日前から、メンテナーである patriksimek が 11 件のアドバイザリを公開している。一連の脆弱性は、vm2 バージョン 3.11.0／3.11.1 で修正されている。ただし、バージョン 3.11.1 では、最新の 2 件の脆弱性に対するパッチが未提供である。

Spotify Backstage における深刻な脆弱性：インターネット上に 500以上のインスタンスが公開

Remote Code Execution Discovered in Spotify’s Backstage

2022/11/15 InfoSecurity — Spotify のオープンソース・プロジェクトである、Cloud Native Computing Foundation (CNCF) インキュベーション Backstage で、リモートコード実行 (RCE) にいたる可能性のある脆弱性が発見された。この発見は、Oxeye リサーチ・によるものであり、vm2 というサードパーティ・ライブラリを介して、仮想マシン (VM) のサンドボックス・エスケープを悪用するものである。

API (242)
APT (526)
Asia (400)
AuthN AuthZ (799)
BruteForce (67)
BugBounty (78)
CyberAttack (3,367)
DarkWeb (228)
DataBreach (561)
DataLeak (195)
DDoS (166)
DoubleExtortion (15)
Exploit (1,533)
Geopolitics (6)
Literacy (2,399)
LOLbin (62)
MageCartAttack (15)
Malware (1,471)
MCP (17)
MisConfiguration (64)
NHI (11)
Outage (106)
ParadigmShift (181)
Privacy (246)
Protection (649)
RaaS (122)
Ransomware (739)
RAT (786)
Repository (357)
Research (1,212)
Resilience (133)
Scammer (615)
SecTools (254)
SocialEngineering (57)
SupplyChain (445)
TTP (1,002)
Uncategorized (21)
Vulnerability (5,194)
WateringHoleAttack (4)
Zero Trust (382)
_AI/ML (532)
_CDN (4)
_Cloud (370)
_Container (74)
_CryptCcurrency (40)
_Defence (162)
_Education (8)
_Finance (161)
_Government (1,106)
_HealthCare (47)
_Human (51)
_ICS (85)
_IDS/IPS (182)
_Industry (221)
_Infrastructure (129)
_Mobile (162)
_OpenSource (1,402)
_PLC (39)
_Regulation (158)
_Retail (79)
_RTOS (6)
_Space (26)
_Statistics (423)
_Storage (70)
_Telecom (77)
_Transportation (56)