**CVE-2026-26956** afeta a versão 3.10.4 do **vm2**, mas versões anteriores também podem ser afetadas. Um exploit de prova de conceito (PoC) está publicamente disponível, levantando preocupações sobre exploração potencial. ### Detalhes da Vulnerabilidade A vulnerabilidade afeta especificamente ambientes que executam **Node.js** 25 (confirmado no Node.js 25.6.1) com o tratamento de exceções WebAssembly e o suporte a JSTag ativados, de acordo com o aviso do mantenedor. **vm2** é uma biblioteca Node.js open-source amplamente utilizada, projetada para executar código JavaScript não confiável dentro de uma sandbox restrita. É comumente usada por plataformas de codificação online, ferramentas de automação e aplicações SaaS para isolar scripts fornecidos pelo usuário do sistema host e impedir o acesso a APIs Node.js sensíveis. Com mais de 1,3 milhão de downloads semanais no **npm** (Node Package Manager), o impacto desta vulnerabilidade pode ser significativo. ### Explicação Técnica **CVE-2026-26956** surge do manuseio inadequado de exceções pela biblioteca entre o ambiente sandbox e o host. O **vm2** normalmente depende de proteções em nível de JavaScript e Proxies de ponte para se proteger contra erros baseados no host. No entanto, o tratamento de exceções WebAssembly pode contornar essas defesas interceptando erros JavaScript em um nível mais baixo dentro do motor V8 do Google. Ao acionar um TypeError especialmente elaborado usando a conversão de Símbolo para string, um atacante pode vazar um objeto de erro do lado do host de volta para a sandbox, contornando os processos de sanitização do **vm2**. Este objeto vazado, originário do ambiente host, permite que os atacantes abusem de sua cadeia de construtores para recuperar o acesso aos internos do Node.js, como o objeto process, permitindo, em última análise, a execução de comandos arbitrários no sistema host. O aviso de segurança do mantenedor inclui um PoC de exploit demonstrando execução remota de código. ### Mitigação Usuários do **vm2** são fortemente aconselhados a atualizar para a versão 3.10.5 ou posterior (a versão mais recente é 3.11.2) o mais rápido possível para mitigar o risco de exploração. ### Vulnerabilidades Anteriores Esta não é a primeira vez que o **vm2** é assolado por vulnerabilidades críticas de escape de sandbox. No início deste ano, **CVE-2026-22709** foi descoberta, permitindo a execução de código arbitrário no sistema host. Outras vulnerabilidades notáveis incluem **CVE-2023-30547**, **CVE-2023-29017** e **CVE-2022-36067**, ressaltando as dificuldades inerentes na criação de sandboxes JavaScript robustas.  ## [99% do que a Mythos Encontrou Ainda Não Foi Corrigido.](https://hubs.li/Q04crVgD0) IA encadeou quatro zero-days em um único exploit que contornou as sandboxes do renderizador e do sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação. [Garanta Seu Lugar](https://hubs.li/Q04crVgD0)