vm2 Node.js 沙箱庫中存在一個嚴重漏洞（編號為 CVE-2026-22709），允許攻擊者逃逸沙箱並在底層主機系統上執行任意程式碼。開源的 vm2 程式庫建立了一個安全上下文，允許使用者執行不受信任的 JavaScript 程式碼，該程式碼無法存取檔案系統。

vm2 過去常用於支援使用者腳本執行的 SaaS 平台、線上程式碼執行器、聊天機器人和開源項目，在 GitHub 上被超過 20 萬個專案使用。然而，由於反覆出現沙箱逃逸漏洞，該專案已於 2023 年停止開發，並被認為不適合運行不受信任的程式碼。

最新的漏洞源自於 vm2 未能正確沙箱化「Promises」（處理非同步操作的元件），以確保程式碼執行僅限於隔離環境的上下文中。鑑於CVE-2026-22709在易受攻擊的 vm2 版本中很容易被利用，建議用戶盡快升級到最新版本。

資料來源：https://www.bleepingcomputer.com/news/security/critical-sandbox-escape-flaw-discovered-in-popular-vm2-nodejs-library/