CVE-2026-24781 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:VM2 沙箱逃逸漏洞。攻击者利用 `inspect` 函数突破隔离。后果:在宿主系统执行**任意命令**,彻底失去保护。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-94**:代码生成漏洞。缺陷点在于 `inspect` 函数未正确限制,导致沙箱边界被绕过。
Q3影响谁?(版本/组件)
📦 **组件**:patriksimek 开发的 **vm2** (Node.js 虚拟机)。受影响版本:**3.11.0 之前**。
Q4黑客能干啥?(权限/数据)
💀 **权限**:获得宿主系统**完全控制权**。可读取/修改任意数据,执行系统级命令,危害极高。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛低**:CVSS 显示无需认证 (PR:N)、无需用户交互 (UI:N)、攻击复杂度低 (AC:L)。远程即可利用。
Q6有现成Exp吗?(PoC/在野利用)
📂 **Exp**:数据中未提供现成 PoC 链接。但漏洞原理明确,利用代码可能已在暗网或社区流传。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 Node.js 依赖树。若使用 `vm2` 且版本 `< 3.11.0`,即存在风险。扫描 `package-lock.json`。
Q8官方修了吗?(补丁/缓解)
🛡️ **已修复**:官方在 **v3.11.0** 版本中已修补此漏洞。请升级至该版本或更高。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:若无法升级,建议**移除 vm2 依赖**,或改用其他更安全的沙箱方案(如 Docker 隔离)。
Q10急不急?(优先级建议)
🔥 **紧急**:CVSS 评分 **9.8** (Critical)。远程无认证可利用,建议**立即升级**或隔离受影响服务。