Node.js 26 发布:默认启用 Temporal API,10 月进入 LTS 阶段

IT之家 5 月 6 日消息,当地时间 5 月 5 日, Node.js 团队发布了最新的 Node.js 26.0.0 版本(Current), Node.js 26 将于 10 月进入 LTS(长期支持)阶段 。
腾讯网

vm2 Node.js库曝严重沙箱逃逸漏洞(CVE-2026-22709)可导致任意代码执行

流行的vm2 Node.js库近日披露一个高危沙箱逃逸漏洞,攻击者成功利用该漏洞可在底层操作系统上执行任意代码。该漏洞编号为CVE-2026-22709,CVSS评分为9.8分(满分10分)。 漏洞技术细节 vm2维护者Patrik Simek表示:"在vm2 3.10.0版本中,Promise.prototype.then和Promise.prototype ...
腾讯网

热门 npm 包 node-ipc 被投毒,窃取密码等敏感信息

IT之家 5 月 16 日消息,科技媒体 NeoWin 昨日(5 月 15 日)发布博文,报道称 npm 热门包 node-ipc 遭遇新的供应链攻击,多个新发布版本被植入信息窃取恶意代码。IT之家注:node-ipc 是一个 Node.js ...
来自MSN

Node.js 24 发布:升级 V8 引擎、集成npm 11、全局URLPattern

IT之家 5 月 9 日消息,Node.js,这一广受欢迎的开源跨平台 JavaScript 运行环境,正式发布了 24.0 版本,新版本承诺带来更强的性能、更高的安全性以及更顺畅的开发体验。 Node.js 24.0 的亮点之一是 V8 JavaScript 引擎升级至 13.6 版本,引入了 Float16Array、显式资源管理 ...
来自MSN

Node.js成黑客新宠?微软提醒警惕其传播恶意软件风险

近期,微软发布安全警示,指出Node.js正被不法分子用作传播恶意软件的新工具,这一趋势引发了网络安全领域的广泛关注。 据悉,自2024年10月起,微软便持续监测到一系列针对其客户的网络攻击活动,部分攻击甚至延续到了2025年4月。在这些攻击中,Node.js扮演 ...
zhiding.cn on MSN

VM2 JavaScript沙箱发现13个严重漏洞,可执行任意代码

研究人员在vm2 JavaScript沙箱库中发现13个严重漏洞,攻击者可借此突破容器限制并在宿主系统执行任意命令。其中CVE-2026-26956可在特定Node.js 25与WebAssembly组合环境下完全逃逸沙箱,CVE-2026-44007则通过nesting:true配置选项触发权限控制缺陷。安全研究人员建议开发者立即升级至vm2 3.11.2版本,并考虑将不可信代码迁移至Docke ...
至顶网

沙箱逃逸漏洞

研究人员在vm2 JavaScript沙箱库中发现13个严重漏洞,攻击者可借此突破容器限制并在宿主系统执行任意命令。其中CVE-2026-26956可在特定Node.js 25与WebAssembly组合环境下完全逃逸沙箱,CVE-2026-44007则通过nesting:true配置选项触发权限控制缺陷。安全研究人员建议开发者立即升级至vm2 3.11.2版本,并考虑将不可信代码迁移至Docke ...