Se han revelado más de una docena de vulnerabilidades de seguridad críticas en la biblioteca vm2 Node.js que podrían ser aprovechadas por actores maliciosos para violar la zona de pruebas y ejecutar código arbitrario en sistemas susceptibles.
vm2 es una biblioteca de código abierto que se utiliza para ejecutar código JavaScript que no es de confianza en un entorno limitado seguro mediante la interceptación y el proxy de objetos JavaScript, lo que evita que el código del entorno limitado acceda al entorno host.
Los fallos de seguridad se enumeran a continuación.
CVE-2026-24118 (puntuación CVSS: 9,8): una vulnerabilidad que permite un escape del sandbox «__lookupGetter__» que permite a los atacantes ejecutar código arbitrario en el host subyacente. (Afecta a las versiones 3.10.4 e inferiores, parche 3.11.0) CVE-2026-24120 (puntuación CVSS: 9,8): la omisión del parche para CVE-2023-37466 (puntuación CVSS: 9,8) permite a los atacantes escapar del sandbox a través de propiedades y ejecutar comandos arbitrarios en el host subyacente. (Afecta a las versiones 3.10.3 e inferiores, parcheado en 3.10.5) CVE-2026-24781 (puntaje CVSS: 9.8): vulnerabilidad que permite escapar del sandbox a través de la función «inspeccionar», lo que permite a los atacantes ejecutar código arbitrario en el host subyacente. (Afecta a las versiones 3.10.3 e inferiores, parche 3.11.0) CVE-2026-26332 (puntaje CVSS: 9.8): vulnerabilidad que permite el escape del sandbox «SuppressedError», lo que permite a los atacantes ejecutar código arbitrario en el host subyacente. (Afecta a las versiones 3.10.4 e inferiores, parche 3.11.0) CVE-2026-26956 (puntaje CVSS: 9.8): vulnerabilidad de falla del mecanismo de protección que permite que la ejecución de código arbitrario escape del entorno limitado al desencadenar un TypeError generado por coerción de símbolo a cadena. (Afecta a la versión 3.10.4, verificada en Node.js 25.6.1, parcheada en 3.10.5) CVE-2026-43997 (Puntuación CVSS: 10.0): la vulnerabilidad de inyección de código podría permitir a un atacante escapar del entorno de pruebas obteniendo el objeto host y potencialmente ejecutar código arbitrario. (Afecta a las versiones 3.10.5 e inferiores, parcheado en 3.11.0) CVE-2026-43999 (puntuación CVSS: 9,9): vulnerabilidad que permite eludir la lista blanca integrada de NodeVM, lo que permite a los atacantes cargar funciones integradas excluidas, como child_process, y realizar la ejecución remota de código. (Afecta a la versión 3.10.5, parcheada en 3.11.0) CVE-2026-44005 (puntuación CVSS: 10.0): vulnerabilidad que permite que el JavaScript controlado por el atacante escape del sandbox, lo que permite la contaminación del prototipo. (Afecta a las versiones 3.9.6 – 3.10.5, parcheado en 3.11.0) CVE-2026-44006 (puntuación CVSS: 10.0) – Vulnerabilidad de inyección de código a través de «BaseHandler.getPrototypeOf» que permite el escape del sandbox y la ejecución remota de código. (Afecta a las versiones 3.10.5 e inferiores, parcheado en 3.11.0) CVE-2026-44007 (puntuación CVSS: 9.1): una vulnerabilidad de control de acceso inadecuado permite el escape del sandbox y la ejecución de comandos arbitrarios del sistema operativo en el host subyacente. (Afecta a las versiones 3.11.0 e inferiores, parcheado en 3.11.1) CVE-2026-44008 (puntaje CVSS: 9.8): vulnerabilidad que permite a los atacantes escapar del entorno limitado a través de «neutralizeArraySpeciesBatch()» y ejecutar comandos arbitrarios en el host subyacente. (Afecta a las versiones 3.11.1 e inferiores, parcheado en 3.11.2) CVE-2026-44009 (puntuación CVSS: 9,8): vulnerabilidad que permite escapar del sandbox a través de una excepción de protocolo nulo, lo que permite a los atacantes ejecutar comandos arbitrarios en el host subyacente. (Afecta a las versiones 3.11.1 y anteriores, parcheado en 3.11.2)
Esta divulgación se produce meses después de que el mantenedor de VM2, Patrik Simek, lanzara un parche para otra falla crítica de escape del sandbox (CVE-2026-22709, puntuación CVSS: 9.8) que podría conducir a la ejecución de código arbitrario en el sistema host subyacente.
El conjunto recientemente identificado de escapes de sandbox ilustra el desafío de aislar de forma segura código que no es de confianza en entornos sandbox basados en JavaScript, y Simek reconoció previamente que era probable que se descubrieran nuevos bypass en el futuro. Para una protección óptima, recomendamos que los usuarios de VM2 actualicen a la última versión (3.11.2).
Source link
