发布日期：2026-01-26
更新日期：2026-03-11

受影响系统：

vm2 vm2 < 3.10.2

描述：

---

CVE(CAN) ID: CVE-2026-22709

vm2是捷克Patrik Simek个人开发者的一个 Node.js 的高级虚拟机/沙盒。以使用列入白名单的 Node 内置模块运行不受信任的代码。
vm2 3.10.2之前版本存在代码注入漏洞，该漏洞源于该程序的Promise回调清理可被绕过，攻击者可利用该漏洞实现任意代码执行。

<**>

建议：

---

厂商补丁：

vm2
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/patriksimek/vm2/releases

浏览次数：30
严重程度：0（网友投票）