vm2: Kritische Sandbox-Lücken entdeckt

Das populäre Node.js-Sandbox-Modul vm2 ist von mehreren kritischen Schwachstellen betroffen. Die BSI hat am 04. Mai 2026 die Warnstufe kritisch ausgerufen.

Betroffene Versionen: Aktuelle vm2-Versionen

Risiko: Code-Ausführung, DoS, Information Disclosure

BSI-ID: WID-SEC-2026-1349

Was ist vm2?

vm2 ist ein weit verbreitetes Node.js-Modul, das eine sichere Sandbox-Umgebung für die Ausführung von nicht vertrauenswürdigem JavaScript-Code bereitstellt. Es wird in CI/CD-Pipelines, Serverless-Umgebungen und Entwicklertools eingesetzt.

Beschreibung der Schwachstellen

Ein Angreifer kann die identifizierten Lücken ausnutzen, um:

• Beliebigen Programmcode auszuführen

• Einen Denial-of-Service-Angriff durchzuführen

• Sensible Informationen offenzulegen

• Sicherheitsvorkehrungen zu umgehen

Empfohlene Maßnahmen

• Sofortiges Update auf die neueste Version

• Prüfung der eigenen Abhängigkeiten (npm audit)

• Alternative: Migration zu isolierten Containern oder WebAssembly

Fazit

Die vm2-Schwachstellen sind besonders kritisch, da das Modul als Sicherheitskomponente konzipiert war. Die Sandbox konnte durchbrochen werden – ein klassischer Fall von „Sicherheit durch Unsichtbarkeit“. Entwickler sollten schnellstmöglich handeln.

Quellen und weiterführende Informationen 📚

• BSI Warnmeldung WID-SEC-2026-1349

• vm2 GitHub Repository

• npm Package Seite

Hinweis zur Aktualität ⚠️

Dieser Beitrag basiert auf BSI-Meldungen vom 04.05.2026. Für aktuellste Informationen empfehlen wir die direkte Konsultation der verlinkten Quellen.