CVE-2026-24120 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:vm2 沙箱逃逸漏洞。之前的修复(CVE-2023-37466)被绕过。后果:攻击者可直接在**主机系统**执行任意命令,彻底失去隔离保护。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-693**:保护机制失败。缺陷点在于对承诺(Promise)物种的沙箱保护逻辑存在漏洞,导致之前的补丁失效,无法有效阻断逃逸路径。
Q3影响谁?(版本/组件)
📦 **受影响**:Node.js 库 **vm2**。具体为 **3.10.5 之前**的所有版本。维护者是 patriksimek。
Q4黑客能干啥?(权限/数据)
💀 **黑客能力**:完全权限!CVSS 评分极高(H/H/H)。可执行**任意命令**,读取/篡改主机数据,控制整个服务器环境,无边界限制。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛极低**:CVSS 显示 **无需认证** (PR:N)、**无需用户交互** (UI:N)、**网络远程** (AV:N)。只要代码在沙箱中运行,即可触发。
Q6有现成Exp吗?(PoC/在野利用)
📜 **现状**:官方公告已发布,但提供的数据中 **PoC 列表为空** (pocs: [])。暂无公开在野利用报告,但鉴于修复被绕过,风险极高。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**:检查 `package.json` 或依赖树。若发现 `vm2` 版本 **< 3.10.5**,即存在风险。重点排查使用 vm2 执行不可信代码的场景。
Q8官方修了吗?(补丁/缓解)
🛡️ **已修复**:官方已在 **v3.10.5** 版本中修复此问题。请升级至该版本或更高版本以彻底解决逃逸漏洞。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:若无补丁可用,建议**禁用 vm2**,改用其他更安全的沙箱方案(如 Docker 容器隔离)。或严格限制 Node.js 进程的系统权限,最小化危害。
Q10急不急?(优先级建议)
🔥 **紧急程度:极高**。CVSS 向量全高,且是沙箱逃逸类漏洞。建议**立即升级**至 v3.10.5+,不要等待 PoC 公开,因为利用逻辑已明确。