Sistemi a rischio: un bug critico nella libreria vm2 per Node.js apre le porte agli hacker

Una vulnerabilità critica nella libreria vm2 per Node.js compromette la sicurezza dei servizi che eseguono codice JavaScript di terze parti. La falla consente agli aggressori di eseguire comandi sul sistema

Una vulnerabilità critica nella popolare libreria vm2 per Node.js ha compromesso i servizi che eseguono codice JavaScript di terze parti in un ambiente sandbox. La falla consente agli aggressori di uscire dalla sandbox ed eseguire comandi sul sistema stesso. Con milioni di download della libreria tramite npm, il problema non riguarda solo i piccoli progetti, ma anche grandi piattaforme SaaS, compilatori online e strumenti di automazione.

Il problema è stato registrato con l’identificativo CVE-2026-26956 . Gli autori della notifica hanno confermato la vulnerabilità nella versione 3.10.4 di vm2, sebbene anche le versioni precedenti possano essere vulnerabili. È già stato rilasciato pubblicamente un codice proof-of-concept per il bug, che dimostra l’esecuzione di comandi remoti sull’host.

La libreria vm2 viene utilizzata per eseguire codice JavaScript non attendibile in un ambiente Node.js isolato. Il suo scopo è limitare l’accesso alle funzioni di sistema, inclusi l’oggetto processo e il file system. Tuttavia, un nuovo bug viola proprio questo principio di isolamento.

Il motivo è legato alla gestione delle eccezioni tra la sandbox e l’ambiente di runtime principale. In condizioni normali, vm2 si affida a meccanismi di protezione JavaScript e a speciali oggetti proxy che filtrano le interazioni tra gli ambienti. Tuttavia, il supporto di WebAssembly per la gestione delle eccezioni consente di intercettare gli errori a un livello inferiore nel motore V8, aggirando i meccanismi di protezione della libreria.

L’attacco si basa su un TypeError appositamente creato durante la conversione da simbolo a stringa. Di conseguenza, l’oggetto di errore viene restituito dall’ambiente principale alla sandbox senza un’adeguata pulizia. Poiché l’oggetto viene creato al di fuori dell’ambiente sandbox, l’attaccante può utilizzare la catena di costruttori per riottenere l’accesso alle funzionalità interne di Node.js ed eseguire comandi arbitrari sul sistema.

Lo sviluppatore di vm2 ha chiarito che il problema è stato confermato per Node.js 25.6.1 con WebAssembly e la gestione delle eccezioni JSTag abilitati. Si consiglia agli utenti di aggiornare ad almeno vm2 3.10.5 il prima possibile, considerando che la versione corrente è attualmente la 3.11.2.

Per vm2, tali incidenti sono diventati una consuetudine. All’inizio del 2026, la libreria ha acquisito un’altra vulnerabilità critica che consente di eludere la sandbox: CVE-2026-22709 . Bug simili erano già stati segnalati nel 2023 e nel 2022. Questa serie di incidenti analoghi dimostra quanto sia difficile isolare in modo affidabile l’esecuzione di codice remoto, anche in strumenti molto diffusi.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research