🔥 Схоже, що ще одна популярна «пісочниця» для JS виявилась картонною. Я натрапив на історію з vm2 і, чесно, мені здається, це хороший привід переглянути деякі архітектурні звички.У vm2 знайшли критичну дірку CVE-2026-22709 з оцінкою CVSS 9.8 🧪 — класичний sandbox escape: маючи доступ до коду в пісочниці, можна вибратися назовні й виконувати довільні команди на хості. Для сервісів із користувацьким кодом, CI/CD чи шаблонізацією в Node.js це може означати повну компрометацію сервера. І це не перший подібний побіг, що змушує сумніватися в надійності JS-пісочниць як класу рішень.Якщо у вас є Node-проєкти, я б мінімум пробігся npm ls vm2 🛠️, оновив до останньої версії і не сподівався лише на пісочницю. Логічно додати контейнери 🐳, окремі процеси, обмеження на рівні ОС або WebAssembly — трохи лячно покладатися на один npm-пакет як на єдиний щит 🛡️. А ви як зараз запускаєте недовірений код: ще вірите в JS-пісочниці чи вже пішли в «важку артилерію»? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/krytychni-vrazlyvosti-vm2-javascript-pisochnytsia#cybersecurity #nodejs #javascript #infosec #devops #sandboxCyberSecureFox