**CVE-2026-26956**は、**vm2**バージョン3.10.4に影響を与えますが、それ以前のバージョンも影響を受ける可能性があります。概念実証（PoC）エクスプロイトが公開されており、悪用の懸念が高まっています。 ### 脆弱性の詳細 この脆弱性は、WebAssembly例外処理とJSTagサポートが有効になっている**Node.js** 25（Node.js 25.6.1で確認済み）を実行している環境に特に影響を与えると、メンテナーのアドバイザリで述べられています。 **vm2**は、制限されたサンドボックス内で信頼できないJavaScriptコードを実行するために設計された、広く使用されているオープンソースのNode.jsライブラリです。オンラインコーディングプラットフォーム、自動化ツール、SaaSアプリケーションなどで一般的に使用されており、ユーザー提供のスクリプトをホストシステムから分離し、機密性の高いNode.js APIへのアクセスを防ぎます。 **npm**（Node Package Manager）で毎週130万以上のダウンロードがあるため、この脆弱性の影響は甚大である可能性があります。 ### 技術的な説明 **CVE-2026-26956**は、サンドボックス化された環境とホスト間の例外処理が不適切であることに起因します。**vm2**は通常、ホストベースのエラーから保護するために、JavaScriptレベルの保護とブリッジProxyに依存しています。しかし、WebAssembly例外処理は、**GoogleのV8**エンジンのより低いレベルでJavaScriptエラーを傍受することにより、これらの防御を回避できます。 攻撃者は、シンボルから文字列への変換を使用して特別に細工されたTypeErrorをトリガーすることにより、ホスト側のエラーオブジェクトをサンドボックスにリークさせ、**vm2**のサニタイズプロセスをバイパスできます。ホスト環境に由来するこのリークしたオブジェクトにより、攻撃者はそのコンストラクタチェーンを悪用して、プロセスオブジェクトなどのNode.js内部へのアクセスを回復し、最終的にホストシステム上での任意のコマンド実行を可能にします。 メンテナーのセキュリティアドバイザリには、リモートコード実行を示すPoCエクスプロイトが含まれています。 ### 緩和策 **vm2**のユーザーは、悪用のリスクを軽減するために、できるだけ早くバージョン3.10.5以降（最新バージョンは3.11.2）にアップグレードすることを強く推奨します。 ### 過去の脆弱性 **vm2**が深刻なサンドボックス脱出脆弱性に悩まされたのは今回が初めてではありません。今年初めには、ホストシステム上での任意のコード実行を可能にする**CVE-2026-22709**が発見されました。その他の注目すべき脆弱性には、**CVE-2023-30547**、**CVE-2023-29017**、**CVE-2022-36067**などがあり、堅牢なJavaScriptサンドボックスを作成することの固有の困難さを浮き彫りにしています。  ## [Mythosが発見したものの99%はまだパッチが適用されていません。](https://hubs.li/Q04crVgD0) AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が押し寄せます。 Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように発見し、制御が有効であることを証明し、修正ループを閉じるかをご覧ください。 [参加登録はこちら](https://hubs.li/Q04crVgD0)