CVE-2026-26332 — 神龙十问 AI 深度分析摘要

🚨 **本质**：vm2 沙箱存在 **SuppressedError** 处理缺陷。 💥 **后果**：攻击者可 **逃逸沙箱**，直接执行 **任意代码**，彻底破坏隔离性。

🔍 **CWE**：CWE-94（代码注入）。 📍 **缺陷点**：沙箱内部对 **SuppressedError** 异常的处理逻辑存在漏洞，导致边界被突破。

📦 **组件**：patriksimek 开发的 **vm2** (Node.js 虚拟机/沙箱)。 📅 **版本**：**3.11.0 之前** 的所有版本均受影响。

👑 **权限**：获得 **服务器/Node.js 进程** 的完全控制权。 📂 **数据**：可读取、篡改、泄露 **所有敏感数据**，甚至控制整个系统。

📶 **利用门槛**：**极低**。 🔓 **条件**：无需认证 (PR:N)，无需用户交互 (UI:N)，网络可访问 (AV:N) 即可触发。

🧪 **Exp/PoC**：数据中未提供公开 PoC 或 **在野利用** 报告。 ⚠️ **注意**：CVSS 评分极高，实际利用风险极大，需假设存在利用可能。

🔎 **自查**：检查 Node.js 项目依赖 `package.json`。 🔍 **特征**：查找 `vm2` 库，确认版本号是否 **小于 3.11.0**。

🛡️ **官方修复**：**已修复**。 ✅ **方案**：升级至 **v3.11.0** 或更高版本。参考 GitHub Release 页面。

🚧 **临时规避**：若无法升级，建议 **移除 vm2 依赖** 或替换为更安全的沙箱方案。 🛑 **限制**：严格限制输入，避免执行不可信代码，但效果有限。

🔥 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：**9.8** (极高危)。 ⚡ **建议**：立即升级补丁，防止服务器被完全接管。