Uma falha crítica foi descoberta na biblioteca vm2, amplamente utilizada no ecossistema Node.js para executar código JavaScript de forma isolada. A vulnerabilidade, identificada como CVE-2026-22709, possui pontuação CVSS de 9.8 e pode permitir que atacantes escapem da sandbox e executem comandos diretamente no sistema host, comprometendo a integridade de servidores que utilizam essa tecnologia. A biblioteca vm2 é comumente adotada por desenvolvedores para rodar código não confiável em ambientes controlados. No entanto, a falha recém-identificada afeta a versão 3.10.0 e explora uma brecha nos métodos then e catch das promessas em JavaScript.
Com isso, um invasor pode contornar os mecanismos de segurança do sandbox e obter acesso privilegiado ao sistema. Essa execução não autorizada de código fora do ambiente seguro representa uma ameaça significativa para aplicações que usam a vm2 para manipular dados externos, oferecer funcionalidades de automação ou processar requisições complexas de usuários. Em contextos corporativos e ambientes em nuvem, o impacto pode ser ainda maior, afetando múltiplos serviços interconectados. O mantenedor da biblioteca liberou uma atualização de segurança na versão 3.10.3 para corrigir o problema. A recomendação é que todas as instâncias da vm2 sejam atualizadas imediatamente, já que não há medidas alternativas eficazes para mitigar o risco sem aplicar o patch.
Este não é o primeiro incidente envolvendo a vm2. Em anos anteriores, outras falhas graves também permitiram a execução remota de código fora da sandbox, levantando dúvidas sobre a viabilidade de manter ambientes seguros com essa biblioteca em projetos de larga escala. Diante disso, especialistas sugerem que, em aplicações críticas, os desenvolvedores considerem alternativas como a biblioteca isolated-vm ou soluções baseadas em containers, como o Docker, para garantir um nível mais robusto de isolamento entre os processos. A manutenção do projeto vm2 foi retomada em 2025 após um período de abandono, mas os recentes incidentes reforçam os desafios técnicos envolvidos na tentativa de isolar execução de código em JavaScript, uma linguagem que possui um modelo assíncrono complexo e difícil de conter em ambientes artificiais.
