🛑ด่วน! พบช่องโหว่ร้ายแรงใน vm2 เสี่ยงหลุดออกจาก Sandbox และรันคำสั่งบน Host ได้

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบการเปิดเผยช่องโหว่ความรุนแรงระดับวิกฤติในไลบรารี vm2 ซึ่งใช้เพื่อรัน JavaScript ที่ไม่น่าเชื่อถือในสภาพแวดล้อมแบบ Sandbox ความรุนแรงระดับ Critical เปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดบนโฮสต์หรือเซิร์ฟเวอร์จริงได้ ผู้ใช้งานควรเร่งดำเนินการปรับปรุงระบบให้เป็นปัจจุบันและตรวจสอบความถูกต้องของการตั้งค่าที่เกี่ยวข้องโดยเร็ว

1. รายละเอียดช่องโหว่:[1]
   ช่องโหว่ CVE-2026-26956 (CVSS v3.1 : 9.8) ใน vm2 ซึ่งเป็น VM/Sandbox แบบโอเพนซอร์สสำหรับ Node.js มีช่องโหว่ที่ทำให้ผู้โจมตีสามารถ “หลุดออกจาก sandbox” พร้อมกับเข้าถึง object ของ process หลักและสั่งรันคำสั่งบน host ได้โดยไม่ต้องขออนุญาตจากฝั่ง host โดยอาศัยช่องโหว่โค้ด VM.run() หากผู้ใช้นำโค้ดมาใช้จากเเหล่งที่ไม่น่าเชื่อถือที่มีมัลเเวร์แฝงอาจนำไปสู่การถูกยึดเครื่องทั้งระบบหรือถูกขโมยข้อมูลได้

2. ผลิตภัณฑ์ที่ได้รับผลกระทบ:
   vm2 เวอร์ชันที่ต่ำกว่า 3.10.4

3. แนวทางการแก้ไข:[2]
   อัปเกรด vm2 เป็นเวอร์ชัน 3.10.5 หรือเวอร์ชัน 3.11.2 ใหม่ล่าสุด

4. แนวทางลดความเสี่ยงชั่วคราว (หากยังไม่สามารถอัปเดตได้ทันที)
   4.1 หยุดรันโค้ดจากผู้ใช้ที่ไม่น่าเชื่อถือใน vm2
   4.2 จำกัดสิทธิ์ของเซิร์ฟเวอร์ Node.js
   4.3 เฝ้าระวังพฤติกรรมผิดปกติบนโฮสต์ เช่น ตรวจ log ของระบบ

5. แหล่งอ้างอิง (References)
   [1] https://dg.th/fmh3d8zesg
   [2] https://dg.th/khq9vwnz1f