CVE-2026-26956 — критическая уязвимость в библиотеке vm2, которая используется для запуска недоверенного JavaScript-кода в изолированной среде приложений Node.js. По данным отчета, проблема позволяет злоумышленнику выйти за пределы песочницы, реализованной в vm2 3.10.4, и выполнить произвольный код на хосте в процессе Node.js. Уязвимости присвоен CVSS 9.8, что указывает на крайне высокий уровень риска. Особую опасность представляет то, что проблема уже подтверждена на Node.js v25.6.1, работающем на x64 Linux. Иными словами, речь идет не о теоретическом сценарии, а о воспроизводимой атаке, затрагивающей реальные инфраструктуры...

Критическая уязвимость с возможностью побега из песочницы исправлена в библиотеке vm2 для Node.js, используемой для выполнения недоверенного кода. Несмотря на прекращение поддержки, проект был возрожден. Пользователям рекомендуется срочное обновление до версии 3.10.2 из-за бага CVE-2026-22709. Устранена критическая уязвимость в vm2 — широко используемой библиотеке для среды выполнения Node.js JavaScript, которая позволяет выполнять недоверенный код внутри изолированной среды (песочницы) в том же процессе, что и доверенный код приложения...

В пакете песочницы JavaScript vm2 обнаружено 13 критических уязвимостей, позволяющих коду злоумышленника сбежать из контейнера и нанести вред ИТ-средам. Разработчикам рекомендуется обновиться до версии 3.11.2. — csoonline.com В пакете песочницы JavaScript vm2 обнаружено тринадцать критических уязвимостей, которые могут позволить коду злоумышленника сбежать из контейнера и нанести вред ИТ-средам. В результате разработчикам, использующим эту библиотеку в своих приложениях, настоятельно рекомендуется обновить программное обеспечение до последней версии, которой на данный момент является 3...

Критическая уязвимость в библиотеке vm2 для Node.js позволяет атакующим выходить из песочницы и исполнять произвольный код на хост-системе. Уязвимость с идентификатором CVE-2026-26956 затрагивает версию библиотеки 3.10.4, но возможно, что более ранние версии также подвержены атаке. Библиотека vm2 используется для выполнения небезопасного JavaScript-кода в ограниченной среде. Она широко применяется в различных платформах, автоматизированных инструментах и SaaS-приложениях для обработки пользовательских скриптов, что делает её эксплойт потенциально опасным для множества компаний...