CSIRT Toscana Node.js: vulnerabilità nella libreria vm2 (AL03/260128/CSIRT-ITA)
Data:
28 Gennaio 2026
Impatto Sistemico
Alto (66.41)
Sintesi
Rilevata vulnerabilità di sicurezza, con gravità “critica”, che interessa la libreria open-source ‘vm2’, componente di Node.js usato per eseguire codice JavaScript all’interno di una “sandbox” sicura. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un attaccante di eludere i meccanismi di isolamento della sandbox ed eseguire codice arbitrario sul sistema ospitante.
Tipologia
Arbitrary Code Execution
Prodotti e versioni affette
vm2, versione 3.10.0 e precedenti
Azioni di mitigazione
Si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni fornite dallo sviluppatore e disponibili ai link nella sezione Riferimenti.
Riferimenti
- https://github.com/patriksimek/vm2/security/advisories/GHSA-99p7-6v5w-7xg8
- https://github.com/patriksimek/vm2/commit/4b009c2d4b1131c01810c1205e641d614c322a29
- https://github.com/patriksimek/vm2/releases/tag/v3.10.2
CVE
| CVE-ID |
|---|
| CVE-2026-22709 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 28-01-2026 | 28/01/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
28 Gennaio 2026, 11:42