FixVibe

// код / прожектор

vm2 Sandbox Breakout Advisory

A vulnerable JavaScript sandbox dependency can put untrusted-code boundaries at risk.

Зацепка

vm2 is commonly used where an app needs to evaluate JavaScript while limiting what that code can reach. When a vulnerable vm2 release is present, teams should treat the sandbox boundary as a patch priority, especially for tenant scripts, plugins, workflow expressions, or AI/tool-generated code.

Как это работает

The repo check looks for the npm package `vm2` in dependency manifests and lockfiles. Exact lockfile versions produce high-confidence findings; broader manifest ranges are reported as version evidence when they can resolve to an affected release.

Радиус поражения

If a deployed app executes attacker-controlled code through an affected vm2 runtime, the sandbox may no longer be a reliable isolation layer. A repo match is dependency evidence, not proof that untrusted code reaches vm2 or that host command execution occurred.

// что проверяет fixvibe

Что проверяет FixVibe

FixVibe repo scans look for high-confidence security patterns and dependency risk in source context. Reports identify the affected area and recommended fix. For check-specific questions about exact detection heuristics, active payload details, or source-code rule patterns, contact support@fixvibe.app.

Железные защиты

Upgrade `vm2` to 3.11.4 or newer, regenerate the active lockfile, rebuild the deployed Node.js runtime, and rerun the repo scan. If vm2 protects untrusted-code workflows, review queued inputs, tenant scripts, plugin data, logs, and credentials available to the Node.js process before treating the incident as closed.

// запусти на своём приложении

Продолжай выпускать продукт, пока FixVibe следит за рисками.

FixVibe прощупывает публичную поверхность твоего приложения так же, как это делает атакующий — без агента, установки и карты. Мы постоянно исследуем новые паттерны уязвимостей и превращаем их в практичные проверки и готовые исправления для Cursor, Claude и Copilot.

Исходный код
116
тестов в этой категории
модулей
76
проверок исходный код
каждое сканирование
487+
тестов по всем категориям
  • Бесплатно — без карты, без установки, без Slack-уведомлений
  • Просто вставь URL — мы обойдём, проверим и отчитаемся
  • Находки с градацией по серьёзности, без дублей
  • AI-ready prompts where code applies, plus operator steps for DNS/provider fixes
Запустить бесплатный скан

// актуальные проверки · практичные фиксы · выпускай увереннее

vm2 Sandbox Breakout Advisory — Прожектор уязвимости | FixVibe · FixVibe