<![CDATA[🛑ด่วน! พบช่องโหว่ร้ายแรงใน vm2 เสี่ยงหลุดออกจาก Sandbox และรันคำสั่งบน Host ได้]]>ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบการเปิดเผยช่องโหว่ความรุนแรงระดับวิกฤติในไลบรารี vm2 ซึ่งใช้เพื่อรัน JavaScript ที่ไม่น่าเชื่อถือในสภาพแวดล้อมแบบ Sandbox ความรุนแรงระดับ Critical เปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดบนโฮสต์หรือเซิร์ฟเวอร์จริงได้ ผู้ใช้งานควรเร่งดำเนินการปรับปรุงระบบให้เป็นปัจจุบันและตรวจสอบความถูกต้องของการตั้งค่าที่เกี่ยวข้องโดยเร็ว

  1. รายละเอียดช่องโหว่:[1]
    ช่องโหว่ CVE-2026-26956 (CVSS v3.1 : 9.8) ใน vm2 ซึ่งเป็น VM/Sandbox แบบโอเพนซอร์สสำหรับ Node.js มีช่องโหว่ที่ทำให้ผู้โจมตีสามารถ “หลุดออกจาก sandbox” พร้อมกับเข้าถึง object ของ process หลักและสั่งรันคำสั่งบน host ได้โดยไม่ต้องขออนุญาตจากฝั่ง host โดยอาศัยช่องโหว่โค้ด VM.run() หากผู้ใช้นำโค้ดมาใช้จากเเหล่งที่ไม่น่าเชื่อถือที่มีมัลเเวร์แฝงอาจนำไปสู่การถูกยึดเครื่องทั้งระบบหรือถูกขโมยข้อมูลได้

  2. ผลิตภัณฑ์ที่ได้รับผลกระทบ:
    vm2 เวอร์ชันที่ต่ำกว่า 3.10.4

  3. แนวทางการแก้ไข:[2]
    อัปเกรด vm2 เป็นเวอร์ชัน 3.10.5 หรือเวอร์ชัน 3.11.2 ใหม่ล่าสุด

  4. แนวทางลดความเสี่ยงชั่วคราว (หากยังไม่สามารถอัปเดตได้ทันที)
    4.1 หยุดรันโค้ดจากผู้ใช้ที่ไม่น่าเชื่อถือใน vm2
    4.2 จำกัดสิทธิ์ของเซิร์ฟเวอร์ Node.js
    4.3 เฝ้าระวังพฤติกรรมผิดปกติบนโฮสต์ เช่น ตรวจ log ของระบบ

Sandbox.png

  1. แหล่งอ้างอิง (References)
    [1] https://dg.th/fmh3d8zesg
    [2] https://dg.th/khq9vwnz1f
]]>https://webboard-nsoc.ncsa.or.th/topic/2864/ด-วน-พบช-องโหว-ร-ายแรงใน-vm2-เส-ยงหล-ดออกจาก-sandbox-และร-นคำส-งบน-host-ไดRSS for NodeFri, 08 May 2026 10:06:51 GMTFri, 08 May 2026 04:17:55 GMT60