பிரபலமான Node.js vm2 சாண்ட்பாக்சிங் லைப்ரரியில் உள்ள முக்கியமான பாதிப்பு, சாண்ட்பாக்ஸில் இருந்து தப்பிக்கவும், ஹோஸ்ட் சிஸ்டத்தில் தன்னிச்சையான குறியீட்டை இயக்கவும் அனுமதிக்கிறது.
பாதுகாப்புச் சிக்கல் CVE-2026-26956 ஆகக் கண்காணிக்கப்பட்டது, மேலும் இது vm2 பதிப்பு 3.10.4 ஐப் பாதிக்கும் என உறுதிப்படுத்தப்பட்டுள்ளது, இருப்பினும் முந்தைய பதிப்புகளும் பாதிக்கப்படலாம். ப்ரூஃப்-ஆஃப்-கான்செப்ட் (PoC) சுரண்டல் குறியீடு வெளியிடப்பட்டது.
பாதுகாப்பு ஆலோசனையில், WebAssembly விதிவிலக்கு கையாளுதல் மற்றும் JSTag ஆதரவை இயக்கிய Node.js 25 (Node.js 25.6.1 இல் உறுதிப்படுத்தப்பட்டது) உள்ள சூழல்களை மட்டுமே இந்தச் சிக்கல் பாதிக்கிறது என்று பராமரிப்பாளர் கூறுகிறார்.
vm2 என்பது ஒரு திறந்த மூல Node.js நூலகமாகும், இது தடைசெய்யப்பட்ட சாண்ட்பாக்ஸ் சூழலில் நம்பத்தகாத ஜாவாஸ்கிரிப்ட் குறியீட்டை இயக்க பயன்படுகிறது. இது பொதுவாக ஆன்லைன் குறியீட்டு தளங்கள், ஆட்டோமேஷன் கருவிகள் மற்றும் பயனர் வழங்கிய ஸ்கிரிப்ட்களை இயக்கும் SaaS பயன்பாடுகளால் பயன்படுத்தப்படுகிறது.
ஹோஸ்ட் அமைப்பிலிருந்து சாண்ட்பாக்ஸ் செய்யப்பட்ட குறியீட்டைத் தனிமைப்படுத்தவும், செயல்முறை மற்றும் கோப்பு முறைமை போன்ற முக்கியமான Node.js APIகளுக்கான அணுகலைத் தடுக்கவும் நூலகம் முயற்சிக்கிறது.
vm2 பரவலாகப் பயன்படுத்தப்படுகிறது, npm (நோட் பேக்கேஜ் மேனேஜர்) இல் 1.3 மில்லியனுக்கும் அதிகமான வாராந்திர பதிவிறக்கங்கள், Node.js க்கான இயல்புநிலை கட்டளை வரி தொகுப்பு மேலாளர்.
CVE-2026-26956 ஆனது கிராஸ்-சாண்ட்பாக்ஸ் மற்றும் ஹோஸ்ட் விதிவிலக்குகளை நூலகத்தின் தவறான கையாளுதலில் இருந்து வருகிறது.
Vm2 பொதுவாக ஜாவாஸ்கிரிப்ட்-நிலைப் பாதுகாப்பை நம்பியிருக்கிறது, அவை ஹோஸ்ட் அடிப்படையிலான பிழைகள் மற்றும் குறுக்கு-சூழல் பொருள்களை மடிக்கக்கூடிய ப்ராக்ஸிகளிலிருந்து பாதுகாக்கின்றன, இவை இரண்டும் ஜாவாஸ்கிரிப்டில் முழுமையாக இயங்கும்.
இருப்பினும், WebAssembly இன் விதிவிலக்கு கையாளுதல், vm2 இன் ஜாவாஸ்கிரிப்ட்-அடிப்படையிலான பாதுகாப்புப் பாதுகாப்பைத் தவிர்த்து, Google V8 இன்ஜினுக்குள் கீழ் மட்டத்தில் JavaScript பிழைகளைப் பிடிக்கலாம்.
டோக்கன்-டு-ஸ்ட்ரிங் மாற்றத்தைப் பயன்படுத்தி பிரத்யேகமாக வடிவமைக்கப்பட்ட TypeError ஐ உயர்த்துவதன் மூலம், தாக்குபவர்கள், vm2 ஆல் சுத்திகரிக்கப்படாமல், புரவலன் பக்கப் பிழைப் பொருளை மீண்டும் சாண்ட்பாக்ஸில் கசியச் செய்யலாம்.
கசிந்த பொருள் புரவலன் சூழலில் இருந்து உருவானதால், செயல்முறைப் பொருள் போன்ற Node.js இன்டர்னல்களுக்கான அணுகலை மீண்டும் பெற தாக்குபவர்கள் அதன் கன்ஸ்ட்ரக்டர் சங்கிலியை துஷ்பிரயோகம் செய்யலாம், இறுதியில் ஹோஸ்ட் அமைப்பில் தன்னிச்சையான கட்டளைகளை செயல்படுத்த அனுமதிக்கிறது.
பராமரிப்பாளரின் பாதுகாப்பு ஆலோசனையில் ஒரு PoC சுரண்டலும் அடங்கும், இது ஹோஸ்ட் கணினியில் ரிமோட் குறியீடு செயல்படுத்தலைக் காட்டுகிறது.
vm2 பயனர்கள் CVE-2026-26956 சுரண்டுவதற்கான ஆபத்தைத் தணிக்க கூடிய விரைவில் பதிப்பு 3.10.5 அல்லது அதற்குப் பிறகு (சமீபத்தியமானது 3.11.2) மேம்படுத்துமாறு அறிவுறுத்தப்படுகிறார்கள்.
ஆண்டின் முற்பகுதியில், CVE-2026-22709 என கண்காணிக்கப்படும் அடிப்படை ஹோஸ்ட் அமைப்பில் தன்னிச்சையான குறியீடு செயலாக்கத்திற்கு வழிவகுக்கும் மற்றொரு முக்கியமான சாண்ட்பாக்ஸ் தப்பிக்கும் குறைபாட்டால் vm2 பாதிக்கப்பட்டது.
ஜாவாஸ்கிரிப்ட் சாண்ட்பாக்ஸ் சூழல்களில் நம்பத்தகாத குறியீட்டை பாதுகாப்பாக தனிமைப்படுத்துவதற்கான சவாலை பிரதிபலிக்கும் அதே நூலகத்தில் CVE-2023-30547, CVE-2023-29017 மற்றும் CVE-2022-36067 போன்ற முந்தைய சாண்ட்பாக்ஸ் தப்பிக்கும் குறைபாடுகள் அடங்கும்.
ரெண்டரர்கள் மற்றும் OS சாண்ட்பாக்ஸ்கள் இரண்டையும் கடந்து AI ஆனது நான்கு பூஜ்ஜிய நாட்களை ஒரே சுரண்டலில் இணைக்கிறது. புதிய சுரண்டல்களின் அலை வருகிறது.
தன்னாட்சி சரிபார்ப்பு உச்சிமாநாட்டில் (மே 12 மற்றும் 14), சூழல் நிறைந்த தன்னாட்சி சரிபார்ப்பு எவ்வாறு சுரண்டக்கூடியதைக் கண்டறிந்து, கட்டுப்பாடுகள் செல்லுபடியாகும் என்பதை நிரூபிக்கிறது மற்றும் சரிசெய்தல் வளையத்தை மூடுகிறது என்பதைப் பார்க்கவும்.
உங்கள் இடத்தைக் கோருங்கள்
Leave a Reply