Açık kaynaklı JavaScript çalışma zamanı ortamı Node.js'nin VM2 sanal alanı manşetlerin dışında kalıyor ve geliştiriciler bir kez daha kapanıyor”eleştirmen“Güvenlik Açıkları: Saldırganlar bir kez daha sanal alandan çıkabilir ve kötü amaçlı kod kullanarak ana bilgisayarların güvenliğini ihlal edebilir.
Duyurudan sonra devamını okuyun
Kritik yazılım güvenlik açıkları
içinde Sürüm 3.11.4 Geliştiriciler birçok güvenlik açığını kapattı. Bunlar arasında dört “eleştirmen” Mümkün olan en yüksek CVSS puanına sahip delikler 10 üzerinden 10 (CVE-2026-47208, CVE-2026-47137, CVE-2026-47140, CVE-2026-47131). Kötü amaçlı kodu ana sisteme eklemenin ve çalıştırmanın birkaç yolu vardır.
Çünkü denemeler process VE inspector/promises Node.js'nin amiral gemisi listesinde yer almayan saldırganlar bunları sanal alanı aşmak için kullanabilir. Ayrıca TypeError yapıcısını kullanarak ana sisteme erişmek için çeşitli işlevleri birleştirebilirsiniz.
Daha da fazla tehlike
Bir diğer “eleştirmen“Güvenlik açığı (CVE-2026-47210), WebAssembly JSPI bağlamında başka bir sanal alan salgınına izin veriyor. Geliştiricilerin ayrıca tehdit düzeyinde üç güvenlik açığı (CVE-2026-47139, CVE-2026-47209, CVE-2026-47135) var”yüksek” kapatıldı. Güvenlik açıkları hakkında daha fazla bilgiyi projenin GitHub web sitesinin güvenlik bölümünde bulabilirsiniz.
Mayıs ayının başından bu yana, saldırganların sanal alanı geçmeyi başarmasıyla vm2 haberlerde yer alıyor. Sonuç olarak, geliştiriciler yakın zamanda iki “eleştirmen“Güvenlik açıkları (CVE-2026-26956, CVE-2026-45411) kapatıldı. Geliştiricilerden şu ana kadar saldırganların bu açıklardan yararlandığına dair bir uyarı gelmedi. Ancak yöneticilerin yamaları uygulamayı çok uzun süre ertelememeleri gerekiyor.
Duyurudan sonra devamını okuyun
(des)
Bir yanıt yazın