Se han revelado una docena de vulnerabilidades de seguridad críticas en la biblioteca vm2 Node.js que podrían ser aprovechadas por delincuentes para salir del entorno limitado y ejecutar código arbitrario en sistemas susceptibles.
vm2 es una biblioteca de código abierto que se utiliza para ejecutar código JavaScript que no es de confianza dentro de un espacio aislado seguro mediante la interceptación y la representación de objetos JavaScript para evitar que el código del espacio aislado acceda al entorno host.
Las fallas de seguridad se enumeran a continuación:
- CVE-2026-24118 (Puntuación CVSS: 9,8): una vulnerabilidad que permite escapar de la zona de pruebas a través de «__lookupGetter__» y permite a un atacante ejecutar código arbitrario en el host subyacente. (Afecta a las versiones
- CVE-2026-24120 (Puntuación CVSS: 9,8): una omisión de parche para CVE-2023-37466 (Puntuación CVSS: 9,8) que podría permitir a los atacantes escapar del entorno limitado a través de la propiedad de especie de los objetos prometidos y ejecutar comandos arbitrarios en el host subyacente. (Afecta a las versiones
- CVE-2026-24781 (Puntuación CVSS: 9,8): una vulnerabilidad que permite escapar del sandbox mediante la función «inspeccionar» y permite a un atacante ejecutar código arbitrario en el host subyacente. (Afecta a las versiones
- CVE-2026-26332 (Puntuación CVSS: 9,8): una vulnerabilidad que permite escapar del sandbox mediante «SuppressedError» y permite a un atacante ejecutar código arbitrario en el host subyacente. (Afecta a las versiones
- CVE-2026-26956 (Puntuación CVSS: 9,8): una vulnerabilidad de falla del mecanismo de protección que permite el escape del sandbox con la ejecución de código arbitrario al desencadenar un TypeError producido por la coerción de símbolo a cadena. (Afecta a la versión 3.10.4, confirmada en Node.js 25.6.1, parcheada en 3.10.5)
- CVE-2026-43997 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de código que permite a un atacante obtener el objeto host y escapar del entorno limitado, lo que lleva a la ejecución de código arbitrario. (Afecta a las versiones
- CVE-2026-43999 (Puntuación CVSS: 9,9): una vulnerabilidad que permite eludir la lista de permitidos integrada de NodeVM y permite a un atacante cargar funciones integradas excluidas como child_process y lograr la ejecución remota de código. (Afecta a la versión 3.10.5, parcheada en 3.11.0)
- CVE-2026-44005 (Puntuación CVSS: 10.0): una vulnerabilidad que permite que JavaScript controlado por un atacante escape del entorno limitado y habilite la contaminación de prototipos. (Afecta a las versiones 3.9.6-3.10.5, parcheado en 3.11.0)
- CVE-2026-44006 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de código a través de «BaseHandler.getPrototypeOf» que permite el escape del entorno aislado y la ejecución remota de código. (Afecta a las versiones
- CVE-2026-44007 (Puntuación CVSS: 9,1): una vulnerabilidad de control de acceso inadecuado que permite el escape del sandbox y la ejecución de comandos arbitrarios del sistema operativo en el host subyacente. (Afecta a las versiones
- CVE-2026-44008 (Puntuación CVSS: 9,8): una vulnerabilidad que permite escapar del sandbox mediante «neutralizeArraySpeciesBatch()» y permite a un atacante ejecutar comandos arbitrarios en el host subyacente. (Afecta a las versiones
- CVE-2026-44009 (Puntuación CVSS: 9,8): una vulnerabilidad que permite escapar del sandbox a través de una excepción de protocolo nulo y permite a un atacante ejecutar comandos arbitrarios en el host subyacente. (Afecta a las versiones
La divulgación se produce un par de meses después de que el mantenedor de vm2, Patrik Simek, lanzara parches para otra falla crítica de escape del sandbox (CVE-2026-22709, puntuación CVSS: 9.8) que podría conducir a la ejecución de código arbitrario en el sistema host subyacente.
La serie de escapes de sandbox recientemente identificados ilustra el desafío de aislar de forma segura el código que no es de confianza en entornos de sandbox basados en JavaScript, y Simek reconoció anteriormente que probablemente se descubrirán nuevos bypass en el futuro. Se recomienda a los usuarios de vm2 que actualicen a la última versión (3.11.2) para una protección óptima.
