Kerentanan vm2 Node.js: 12 Celah Keamanan Jadi Ancaman Eksekusi Kode Arbitrer

vm2, pustaka open-source populer di ekosistem Node.js yang berfungsi menjalankan kode JavaScript tidak terpercaya dalam sandbox aman, baru-baru ini ditemukan memiliki 12 kerentanan keamanan kritis. Celah ini memungkinkan penyerang untuk melakukan pelarian dari sandbox dan mengeksekusi kode arbitrer pada sistem yang rentan.

Fungsi vm2 dan Risiko Keamanan

vm2 berperan sebagai lapisan keamanan dengan mencegah kode JavaScript yang dijalankan dalam sandbox mengakses lingkungan host secara langsung. Hal ini dicapai dengan intercepting dan proxying objek JavaScript untuk mengontrol akses.

Namun, serangkaian kelemahan yang baru diumumkan memungkinkan penyerang mengelabui mekanisme ini, melakukan sandbox escape, dan menjalankan perintah berbahaya pada host.

Rincian Kerentanan dan Dampaknya

Berikut adalah ikhtisar dari beberapa kerentanan utama yang dilaporkan, beserta skor CVSS dan versi vm2 yang terdampak:

• CVE-2026-24118 (CVSS 9.8): Pelarian sandbox melalui metode __lookupGetter__ memungkinkan eksekusi kode arbitrer (<= 3.10.4, patch di 3.11.0).
• CVE-2026-24120 (CVSS 9.8): Bypass patch sebelumnya, eksploitasi melalui species property pada objek promise (<= 3.10.3, patch di 3.10.5).
• CVE-2026-24781 (CVSS 9.8): Pelarian sandbox lewat fungsi inspect, memungkinkan eksekusi kode (<= 3.10.3, patch di 3.11.0).
• CVE-2026-26332 (CVSS 9.8): Pelarian melalui SuppressedError (<= 3.10.4, patch di 3.11.0).
• CVE-2026-26956 (CVSS 9.8): Kegagalan mekanisme proteksi dengan pemicu TypeError saat konversi Symbol ke string (3.10.4, patch di 3.10.5).
• CVE-2026-43997 (CVSS 10.0): Injeksi kode yang memberikan akses objek host, berpotensi eksekusi kode arbitrer (<= 3.10.5, patch di 3.11.0).
• CVE-2026-43999 (CVSS 9.9): Bypass daftar allowlist NodeVM sehingga bisa memuat modul terlarang seperti child_process (3.10.5, patch di 3.11.0).
• CVE-2026-44005 (CVSS 10.0): Pelarian sandbox dengan prototype pollution (3.9.6-3.10.5, patch di 3.11.0).
• CVE-2026-44006 (CVSS 10.0): Injeksi kode melalui BaseHandler.getPrototypeOf (<= 3.10.5, patch di 3.11.0).
• CVE-2026-44007 (CVSS 9.1): Kontrol akses yang tidak tepat memungkinkan pelarian dan eksekusi perintah OS (<= 3.11.0, patch di 3.11.1).
• CVE-2026-44008 (CVSS 9.8): Pelarian sandbox lewat neutralizeArraySpeciesBatch() (<= 3.11.1, patch di 3.11.2).
• CVE-2026-44009 (CVSS 9.8): Pelarian melalui pengecualian null proto (<= 3.11.1, patch di 3.11.2).

Respon dan Tindakan Perbaikan

Kerentanan ini diungkap hanya beberapa bulan setelah perbaikan untuk celah kritis sandbox escape lainnya (CVE-2026-22709, CVSS 9.8) dirilis oleh pemelihara vm2, Patrik Simek. Beliau menyatakan bahwa tantangan utama adalah mempertahankan keamanan dalam menjalankan kode JavaScript yang tidak terpercaya, dan kemungkinan temuan bypass baru masih terbuka.

Pengguna vm2 sangat dianjurkan untuk segera melakukan pembaruan ke versi 3.11.2 yang telah memuat patch semua kerentanan ini untuk menghindari risiko serangan.

Analisis Redaksi

Menurut pandangan redaksi, rangkaian kerentanan ini menyoroti betapa kompleks dan rentannya pengamanan sandbox JavaScript, terutama pada pustaka yang banyak digunakan seperti vm2. Sandbox escape dengan skor CVSS mendekati atau mencapai 10, menunjukkan potensi kerusakan yang sangat besar, mulai dari pencurian data hingga pengambilalihan sistem.

Selain itu, fakta bahwa celah-celah ini hadir dalam berbagai versi vm2 menunjukkan pentingnya pengujian keamanan berkelanjutan dan transparansi dalam pengembangan open-source. Pengguna, terutama pengembang aplikasi yang mengandalkan vm2 untuk menjalankan kode eksternal, harus lebih waspada dan proaktif dalam memperbarui dependensi mereka.

Kedepannya, kita perlu mengawasi apakah pendekatan baru dalam isolasi sandbox dapat mengurangi risiko ini secara signifikan, atau jika ekosistem JavaScript harus mencari metode alternatif yang lebih aman. Update keamanan seperti ini juga mengingatkan pentingnya kolaborasi antara komunitas dan pengembang untuk merespons ancaman siber dengan cepat.

Untuk informasi lebih lanjut, Anda dapat membaca laporan lengkapnya di sumber resmi The Hacker News dan mengikuti berita keamanan dari media terpercaya seperti CNN Indonesia.

Jangan lewatkan pembaruan keamanan dan berita terkini lainnya dengan mengikuti kami di Google News, Twitter, dan LinkedIn.