Se ha descubierto una vulnerabilidad de severidad crítica en la librería vm2 de Node.js. Un actor malicioso podría eludir el aislamiento del entorno de pruebas y ejecutar código arbitrario en el sistema host.
Productos afectados
- Librería de código abierto vm2, en versiones 3.10.1 y anteriores.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-22709: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de código debido a un control inadecuado en la generación de código. Debido a que la sanitización de las callbacks en las promesas de funciones asíncronas puede ser omitida, un actor malicioso remoto podría permitir el escape del entorno restringido y ejecutar código arbitrario con los privilegios del proceso de Node.js en el sistema operativo afectado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias