**CVE-2026-26956** betrifft **vm2** Version 3.10.4, aber auch frühere Versionen könnten betroffen sein. Ein Proof-of-Concept (PoC) Exploit ist öffentlich verfügbar, was Bedenken hinsichtlich einer möglichen Ausnutzung aufwirft. ### Details zur Schwachstelle Die Schwachstelle betrifft speziell Umgebungen, die **Node.js** 25 (bestätigt auf Node.js 25.6.1) mit aktivierter WebAssembly-Exception-Behandlung und JSTag-Unterstützung ausführen, so das Advisory des Maintainers. **vm2** ist eine weit verbreitete Open-Source-Node.js-Bibliothek, die dazu dient, nicht vertrauenswürdigen JavaScript-Code innerhalb einer eingeschränkten Sandbox auszuführen. Sie wird häufig von Online-Coding-Plattformen, Automatisierungstools und SaaS-Anwendungen verwendet, um benutzereigene Skripte vom Host-System zu isolieren und den Zugriff auf sensible Node.js APIs zu verhindern. Mit über 1,3 Millionen wöchentlichen Downloads auf **npm** (Node Package Manager) könnten die Auswirkungen dieser Schwachstelle erheblich sein. ### Technische Erklärung **CVE-2026-26956** entsteht durch die fehlerhafte Behandlung von Exceptions zwischen der sandboxed Umgebung und dem Host durch die Bibliothek. **vm2** verlässt sich typischerweise auf JavaScript-basierte Schutzmechanismen und Bridge-Proxies, um vor Host-basierten Fehlern zu schützen. Die WebAssembly-Exception-Behandlung kann diese Abwehrmaßnahmen jedoch umgehen, indem sie JavaScript-Fehler auf einer niedrigeren Ebene innerhalb von **Googles V8**-Engine abfängt. Durch das Auslösen eines speziell präparierten TypeError mittels Symbol-zu-String-Konvertierung kann ein Angreifer ein Host-seitiges Fehlerobjekt zurück in die Sandbox leaken und dabei die Bereinigungsprozesse von **vm2** umgehen. Dieses geleakte Objekt, das aus der Host-Umgebung stammt, ermöglicht es Angreifern, seine Konstruktor-Kette zu missbrauchen, um wieder Zugriff auf Node.js-Interna wie das Prozess-Objekt zu erlangen und letztendlich die Ausführung beliebiger Befehle auf dem Host-System zu ermöglichen. Das Sicherheits-Advisory des Maintainers enthält einen PoC-Exploit, der Remote Code Execution demonstriert. ### Abhilfemaßnahmen Benutzern von **vm2** wird dringend empfohlen, so schnell wie möglich auf Version 3.10.5 oder höher (die neueste Version ist 3.11.2) zu aktualisieren, um das Risiko einer Ausnutzung zu minimieren. ### Frühere Schwachstellen Dies ist nicht das erste Mal, dass **vm2** von kritischen Sandbox-Escape-Schwachstellen betroffen ist. Anfang dieses Jahres wurde **CVE-2026-22709** entdeckt, die die Ausführung beliebigen Codes auf dem Host-System ermöglichte. Weitere bemerkenswerte Schwachstellen sind **CVE-2023-30547**, **CVE-2023-29017** und **CVE-2022-36067**, was die inhärenten Schwierigkeiten bei der Erstellung robuster JavaScript-Sandboxes unterstreicht.  ## [99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht.](https://hubs.li/Q04crVgD0) KI hat vier Zero-Days zu einem Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung das Ausnutzbare findet, beweist, dass Kontrollen greifen, und den Remediation-Loop schließt. [Fordern Sie Ihren Platz an](https://hubs.li/Q04crVgD0)