Vulnerabilidad crítica en vm2 (CVE-2026-22709 con puntuación CVSS 9.8) permite a atacantes escapar del sandbox y ejecutar código arbitrario en el host al explotar un fallo en la gestión de promesas globales en versiones ≤3.10.0. Afecta a millones de aplicaciones Node.js con 3.7M descargas mensuales. Se recomienda actualizar urgentemente a vm2 3.10.2+ para mitigar el riesgo.

Node.js lanzó actualizaciones críticas de seguridad en todas sus líneas de lanzamiento activas el 13 de enero de 2026, parcheando vulnerabilidades que podrían provocar fugas de memoria, ataques de denegación de servicio y omisiones de permisos. Estas versiones corrigen tres fallos de alta gravedad, entre otros, instando a actualizaciones inmediatas en los sistemas afectados. Vulnerabilidades de alta gravedad.

Una vulnerabilidad crítica en una popular librería de Node.js expone los sistemas Windows a ataques de ejecución remota de código. Se ha descubierto una grave falla de seguridad en systeminformation, una popular librería de Node.js utilizada por miles de desarrolladores. La vulnerabilidad, etiquetada como CVE-2025-68154, permite a los atacantes ejecutar código malicioso en computadoras con Windows. Todas las versiones hasta la 5.27.13 son afectadas y los desarrolladores deben actualizar a la versión 5.27.14 inmediatamente. systeminformation es un paquete de Node.js ampliamente utilizado que ayuda