[!quote]+ 
该安全问题被追踪为 CVE-2026-26956，已确认会影响 vm2 3.10.4 版，但早期版本也可能存在漏洞。已发布概念验证 (PoC) 漏洞利用代码。 
维护者在安全公告中称，该问题只影响已启用 WebAssembly 异常处理和 JSTag 支持的 Node.js 25 环境（已在 Node.js 25.6.1 上确认）。 
vm2 是一个开源 Node.js 库，用于在受限沙箱环境中运行不受信任的 JavaScript 代码。在线编码平台、自动化工具和 SaaS 应用程序通常使用它来执行用户提供的脚本。 
该库试图将沙盒代码与主机系统隔离，并阻止对进程和文件系统等敏感 Node.js API 的访问。 
CVE-2026-26956 源自该库对沙盒环境和主机之间交叉异常的错误处理。 
该公告解释说，vm2 通常依赖 JavaScript 级保护措施来...