人気のNode.jsライブラリに深刻な脆弱性、ただちに確認と更新を

The Hacker Newsは10月11日(米国時間)、「Researchers Detail Critical RCE Flaw Reported in Popular vm2 JavaScript Sandbox」において現在パッチが適用されているJavaScriptサンドボックスモジュール「vm2」のセキュリティ上の欠陥について伝えた。攻撃者によってリモートからセキュリティバリアが突破され、基盤となるマシン上で任意の操作を実行するために悪用される可能性のある重大な脆弱性がvm2に存在していたことが判明した。

vm2は、信頼できないコードを許可リストに登録された組み込みモジュールで実行するために使用されているポピュラーなNode.jsライブラリ。広くダウンロードされているNode.jsライブラリの一つだ。この人気のNodeライブラリに重大な脆弱性があることが、セキュリティベンダーのOxeyeの調査によって明らかとなった。