vm2の脆弱性で何が起きますか？

A. ホスト側でコマンド実行される恐れがあります。

vm2は、信頼できないJavaScriptコードを安全に動かすためのサンドボックス機構です。本来はホストマシンへのアクセスを防ぐ設計ですが、今回の脆弱性ではサンドボックスの外側で任意のコマンドを実行できてしまいます。

問題は、Node.js 25.6.1環境でvm2バージョン3.10.4を使う場合に確認されていますが、これ以外の環境でも発現してしまう可能性もあります。

原因は、例外処理の実装が妥当ではなかったこととされています。

安全のために使っている仕組みでホスト側の実行を許してしまう点は、注意が必要と言えます。

vm2を3.10.5以降に更新することで、この脆弱性を解消した状態にできます。 2026年5月7日時点の最新バージョンは3.11.2です。

👉 詳細のブログはこちら