2023-07-20のJS: vm2の開発終了、Storybook 7.1、Fresh 1.3JSer.info #652 - Node.jsのnode:vmモジュールはSandbox(信用できないコードの実行環境)としては利用できませんが、vm2はnode:vmをラップしてSandboxを提供するモジュールでした。 今回、vm2の仕組み的に修正できないSandboxに関する脆弱性が発見されたため、メンテナンスを終了することが宣言されています。脆弱性の詳細はまだ公開されていませんが、Sandboxを破ることができる脆弱性で、PoCは8月ごろに公開される予定です。 Discontinued · Issue #533 · patriksimek/vm2 vm2 Sandbox Escape vulnerability · CVE-2023-37466 · GitHub Advisory Database Sandbox機能が欲しい場合は、QuickJSをWebAssemblyにコンパイ
