**CVE-2026-26956** affecte la version 3.10.4 de **vm2**, mais les versions antérieures peuvent également être concernées. Un exploit proof-of-concept (PoC) est publiquement disponible, soulevant des inquiétudes quant à une exploitation potentielle. ### Détails de la vulnérabilité La vulnérabilité affecte spécifiquement les environnements exécutant **Node.js** 25 (confirmé sur Node.js 25.6.1) avec la gestion des exceptions WebAssembly et le support JSTag activés, selon l'avis du mainteneur. **vm2** est une bibliothèque Node.js open-source largement utilisée, conçue pour exécuter du code JavaScript non fiable dans une sandbox restreinte. Elle est couramment utilisée par les plateformes de codage en ligne, les outils d'automatisation et les applications SaaS pour isoler les scripts fournis par les utilisateurs du système hôte et empêcher l'accès aux API Node.js sensibles. Avec plus de 1,3 million de téléchargements hebdomadaires sur **npm** (Node Package Manager), l'impact de cette vulnérabilité pourrait être significatif. ### Explication technique **CVE-2026-26956** découle de la gestion incorrecte des exceptions par la bibliothèque entre l'environnement sandboxé et l'hôte. **vm2** s'appuie généralement sur des protections au niveau JavaScript et des Proxies de pont pour se prémunir contre les erreurs basées sur l'hôte. Cependant, la gestion des exceptions WebAssembly peut contourner ces défenses en interceptant les erreurs JavaScript à un niveau inférieur au sein du moteur **V8 de Google**. En déclenchant une TypeError spécialement conçue à l'aide de la conversion de Symbol en chaîne de caractères, un attaquant peut divulguer un objet d'erreur côté hôte dans la sandbox, contournant ainsi les processus de nettoyage de **vm2**. Cet objet divulgué, provenant de l'environnement hôte, permet aux attaquants d'abuser de sa chaîne de constructeurs pour retrouver l'accès aux internes de Node.js, tels que l'objet process, permettant finalement l'exécution de commandes arbitraires sur le système hôte. L'avis de sécurité du mainteneur inclut un PoC d'exploit démontrant l'exécution de code à distance. ### Atténuation Il est fortement conseillé aux utilisateurs de **vm2** de mettre à niveau vers la version 3.10.5 ou ultérieure (la dernière version est 3.11.2) dès que possible pour atténuer le risque d'exploitation. ### Vulnérabilités précédentes Ce n'est pas la première fois que **vm2** est frappé par des vulnérabilités critiques d'évasion de sandbox. Plus tôt cette année, **CVE-2026-22709** a été découvert, permettant l'exécution de code arbitraire sur le système hôte. D'autres vulnérabilités notables incluent **CVE-2023-30547**, **CVE-2023-29017** et **CVE-2022-36067**, soulignant les difficultés inhérentes à la création de sandboxes JavaScript robustes.  ## [99% de ce que Mythos a trouvé n'est toujours pas corrigé.](https://hubs.li/Q04crVgD0) L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits arrive. Lors du Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la boucle de remédiation. [Réservez votre place](https://hubs.li/Q04crVgD0)