🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma vulnerabilidade crítica na popular biblioteca de sandbox Node.js vm2 permite escapar da sandbox e executar código arbitrário no sistema host.
O problema de segurança é rastreado como CVE-2026-26956 e foi confirmado que impacta a versão 3.10.4 do vm2, embora versões anteriores também possam ser vulneráveis. O código de exploração de prova de conceito (PoC) foi publicado.
No comunicado de segurança, o mantenedor afirma que o problema afeta apenas ambientes com Node.js 25 (confirmado em Node.js 25.6.1) que habilitaram o tratamento de exceções WebAssembly e suporte JSTag.
vm2 é uma biblioteca Node.js de código aberto usada para executar código JavaScript não confiável dentro de um ambiente sandbox restrito. É comumente empregado por plataformas de codificação online, ferramentas de automação e aplicativos SaaS que executam scripts fornecidos pelo usuário.
A biblioteca tenta isolar o código em área restrita do sistema host e bloquear o acesso a APIs Node.js confidenciais, como processo e sistema de arquivos.
vm2 é amplamente utilizado, com mais de 1,3 milhão de downloads semanais no npm (Node Package Manager), o gerenciador de pacotes de linha de comando padrão para Node.js.
CVE-2026-26956 decorre do tratamento errôneo da biblioteca de exceções cruzadas entre o ambiente em área restrita e o host.
O comunicado explica que vm2 normalmente depende de proteções em nível de JavaScript que protegem contra erros baseados em host e proxies de ponte que agrupam objetos de contexto cruzado, ambos executados inteiramente em JavaScript.
No entanto, o tratamento de exceções do WebAssembly pode interceptar erros de JavaScript em um nível inferior dentro do mecanismo V8 do Google, contornando as defesas de segurança baseadas em JavaScript do vm2.
Ao acionar um TypeError especialmente criado usando a conversão de símbolo em string, os invasores podem fazer com que um objeto de erro do lado do host vaze de volta para a sandbox sem ser limpo pelo vm2.
Como o objeto vazado se origina do ambiente host, os invasores podem abusar de sua cadeia de construtores para recuperar o acesso aos componentes internos do Node.js, como o objeto de processo, permitindo, em última análise, a execução arbitrária de comandos no sistema host.
O aviso de segurança do mantenedor também inclui uma exploração PoC que demonstra a execução remota de código na máquina host.
Recomenda-se que os usuários do vm2 atualizem para a versão 3.10.5 ou posterior (a mais recente é 3.11.2) o mais rápido possível para mitigar o risco de exploração do CVE-2026-26956.
No início do ano, a vm2 foi afetada por outra falha crítica de escape do sandbox que poderia levar à execução arbitrária de código no sistema host subjacente, rastreada como CVE-2026-22709.
As falhas anteriores de escape de sandbox que afetam a mesma biblioteca incluem CVE-2023-30547, CVE-2023-29017 e CVE-2022-36067, refletindo o desafio de isolar com segurança código não confiável em ambientes de sandbox JavaScript.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
O problema de segurança é rastreado como CVE-2026-26956 e foi confirmado que impacta a versão 3.10.4 do vm2, embora versões anteriores também possam ser vulneráveis. O código de exploração de prova de conceito (PoC) foi publicado.
No comunicado de segurança, o mantenedor afirma que o problema afeta apenas ambientes com Node.js 25 (confirmado em Node.js 25.6.1) que habilitaram o tratamento de exceções WebAssembly e suporte JSTag.
vm2 é uma biblioteca Node.js de código aberto usada para executar código JavaScript não confiável dentro de um ambiente sandbox restrito. É comumente empregado por plataformas de codificação online, ferramentas de automação e aplicativos SaaS que executam scripts fornecidos pelo usuário.
A biblioteca tenta isolar o código em área restrita do sistema host e bloquear o acesso a APIs Node.js confidenciais, como processo e sistema de arquivos.
vm2 é amplamente utilizado, com mais de 1,3 milhão de downloads semanais no npm (Node Package Manager), o gerenciador de pacotes de linha de comando padrão para Node.js.
CVE-2026-26956 decorre do tratamento errôneo da biblioteca de exceções cruzadas entre o ambiente em área restrita e o host.
O comunicado explica que vm2 normalmente depende de proteções em nível de JavaScript que protegem contra erros baseados em host e proxies de ponte que agrupam objetos de contexto cruzado, ambos executados inteiramente em JavaScript.
No entanto, o tratamento de exceções do WebAssembly pode interceptar erros de JavaScript em um nível inferior dentro do mecanismo V8 do Google, contornando as defesas de segurança baseadas em JavaScript do vm2.
Ao acionar um TypeError especialmente criado usando a conversão de símbolo em string, os invasores podem fazer com que um objeto de erro do lado do host vaze de volta para a sandbox sem ser limpo pelo vm2.
Como o objeto vazado se origina do ambiente host, os invasores podem abusar de sua cadeia de construtores para recuperar o acesso aos componentes internos do Node.js, como o objeto de processo, permitindo, em última análise, a execução arbitrária de comandos no sistema host.
O aviso de segurança do mantenedor também inclui uma exploração PoC que demonstra a execução remota de código na máquina host.
Recomenda-se que os usuários do vm2 atualizem para a versão 3.10.5 ou posterior (a mais recente é 3.11.2) o mais rápido possível para mitigar o risco de exploração do CVE-2026-26956.
No início do ano, a vm2 foi afetada por outra falha crítica de escape do sandbox que poderia levar à execução arbitrária de código no sistema host subjacente, rastreada como CVE-2026-22709.
As falhas anteriores de escape de sandbox que afetam a mesma biblioteca incluem CVE-2023-30547, CVE-2023-29017 e CVE-2022-36067, refletindo o desafio de isolar com segurança código não confiável em ambientes de sandbox JavaScript.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #bug #crítico #do #sandbox #vm2 #permite #que #invasores #executem #código #em #hosts
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário