**CVE-2026-26956** afecta a la versión 3.10.4 de **vm2**, pero versiones anteriores también podrían estar afectadas. Existe un exploit de prueba de concepto (PoC) disponible públicamente, lo que genera preocupación sobre una posible explotación. ### Detalles de la Vulnerabilidad La vulnerabilidad afecta específicamente a entornos que ejecutan **Node.js** 25 (confirmado en Node.js 25.6.1) con el manejo de excepciones de WebAssembly y el soporte de JSTag habilitados, según el aviso del mantenedor. **vm2** es una biblioteca de Node.js de código abierto ampliamente utilizada diseñada para ejecutar código JavaScript no confiable dentro de un sandbox restringido. Es comúnmente utilizada por plataformas de codificación en línea, herramientas de automatización y aplicaciones SaaS para aislar scripts proporcionados por el usuario del sistema anfitrión y evitar el acceso a APIs sensibles de Node.js. Con más de 1.3 millones de descargas semanales en **npm** (Node Package Manager), el impacto de esta vulnerabilidad podría ser significativo. ### Explicación Técnica **CVE-2026-26956** surge del manejo inadecuado de excepciones entre el entorno aislado y el anfitrión por parte de la biblioteca. **vm2** generalmente se basa en protecciones a nivel de JavaScript y Proxies de puente para proteger contra errores del lado del anfitrión. Sin embargo, el manejo de excepciones de WebAssembly puede eludir estas defensas al interceptar errores de JavaScript a un nivel inferior dentro del motor **V8 de Google**. Al activar un TypeError especialmente diseñado utilizando la conversión de Símbolo a cadena, un atacante puede filtrar un objeto de error del lado del anfitrión de regreso al sandbox, eludiendo los procesos de sanitización de **vm2**. Este objeto filtrado, originado en el entorno anfitrión, permite a los atacantes abusar de su cadena de constructores para recuperar el acceso a los internos de Node.js, como el objeto `process`, permitiendo en última instancia la ejecución de comandos arbitrarios en el sistema anfitrión. El aviso de seguridad del mantenedor incluye un PoC de exploit que demuestra la ejecución remota de código. ### Mitigación Se recomienda encarecidamente a los usuarios de **vm2** que actualicen a la versión 3.10.5 o posterior (la última versión es 3.11.2) lo antes posible para mitigar el riesgo de explotación. ### Vulnerabilidades Anteriores Esta no es la primera vez que **vm2** se ve plagado de vulnerabilidades críticas de escape de sandbox. A principios de este año, se descubrió **CVE-2026-22709**, que permitía la ejecución de código arbitrario en el sistema anfitrión. Otras vulnerabilidades notables incluyen **CVE-2023-30547**, **CVE-2023-29017** y **CVE-2022-36067**, lo que subraya las dificultades inherentes para crear sandboxes de JavaScript robustos.  ## [El 99% de lo que encontró Mythos sigue sin parchear.](https://hubs.li/Q04crVgD0) La IA encadenó cuatro zero-days en un solo exploit que eludió los sandboxes del renderizador y del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. [Reclama tu Lugar](https://hubs.li/Q04crVgD0)