Vulnerabilidades críticas de la biblioteca vm2 Node.js permiten ataques de ejecución de código arbitrario

VM2 se ha visto afectado por 11 vulnerabilidades críticas, lo que pone a innumerables aplicaciones que dependen de él en riesgo de ejecutar código que no es de confianza. Cada falla, que afecta a todas las versiones hasta la 3.11.1, proporciona a los atacantes un camino claro para salir del sandbox y entrar al sistema host, con capacidades completas de ejecución de comandos.

Todo su modelo de seguridad se basa en una promesa: mantener el código malicioso en su interior y mantener seguro el host. La promesa principal de la biblioteca de que el código que se ejecuta dentro de una instancia de VM no puede llegar al sistema host se ha roto fundamentalmente con estas revelaciones, y todas las vulnerabilidades permiten la ejecución remota completa de código (RCE) en el host subyacente. Vulnerabilidades de la biblioteca vm2 Node.js Entre los problemas más graves se encuentra CVE-2026-24118, que explota el comportamiento __lookupGetter__ para escapar del entorno limitado. CVE-2026-26332 aprovecha las mecánicas de AnkleStack y SuppressedError en Node.js v24 para exponer el objeto Function del host.

Lo más preocupante es que dos vulnerabilidades críticas, CVE-2026-44008 y CVE-2026-44009, siguen sin parchearse en las versiones hasta la 3.11.1. La publicación Vulnerabilidades críticas de la biblioteca vm2 Node.js permite ataques de ejecución de código arbitrario apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗