Se os requisitos forem atendidos, um invasor poderá sair da sandbox vm2 na instância Node.js e executar código malicioso. Explorações de prova de conceito são comuns, mas até agora não houve relatos de que invasores tenham explorado a vulnerabilidade. O desenvolvedor lançou agora uma atualização de segurança.
Leia mais depois do anúncio
Detalhes da vulnerabilidade
Um alerta no GitHub indica que a vulnerabilidade (CVE-2026-26956) tem um nível de ameaça de “crítico“é classificado. O desenvolvedor garante que apenas o Node.js 25 é vulnerável. Ele afirma que reproduziu com sucesso a vulnerabilidade na v25.6.1. A versão 3.10.4 do vm2 é especialmente vulnerável. A vulnerabilidade foi encontrada em Versão 3.10.5 fechado. No entanto, o evento só será vulnerável se o tratamento de exceções do WebAssembly e o suporte a JSTag estiverem ativados.
Se isso acontecer, um invasor pode desencadear um erro na solicitação feita, contornando assim os filtros de segurança do vm2. Eles podem então executar seu próprio código no sistema host. Com base na classificação, pode-se presumir que o sistema é considerado danificado. Os desenvolvedores fornecem mais detalhes sobre as lacunas e possíveis sequências de ataque nas mensagens de aviso.
(de)
