Javasolt mielőbb helyettesítő terméket választani a vm2 helyett, ugyanis kritikus hibákat fedeztek fel a népszerű sandbox-ban, miközben a projekt fejlesztői támogatása 2023 július 11-től megszűnt.
A VM2 egy speciális virtuális sandbox környezet, amely széles körben használt nem megbízható kódok tesztelésére, megakadályozva, hogy a kód hozzáférjen a gazdagép rendszererőforrásaihoz vagy külső adatokhoz. A könyvtár általában megtalálható integrált fejlesztői környezetekben (IDE), kódszerkesztőkben, biztonsági eszközökben és pentester-keretrendszerekben. Bár a könyvtár támogatása megszűnt, az NPM csomagtárból hetente több millióan töltik le.
A sérülékenységek egyszerűen kihasználhatóak távoli kódfuttatásra (RCE), ami telepítési környezet számára komoly biztonsági fenyegetést jelent.
Proof-of-concept exploit jelen cikk készültekor még nem volt publikusan elérhető, azonban a giten nyilvánosságra hozott biztonsági közlemények [1, 2] szerint legkésőbb szeptember 5-től várható, ami lényegesen megnöveli annak valószínűségét, hogy a sérülékenységeket valós támadásokra is kihasználják.
