JavaScript

Node.js常用JavaScript沙箱函式庫vm2，爆出重大資安漏洞CVE-2026-22709，攻擊者可透過特定程式碼繞過沙箱限制，在宿主環境執行任意程式碼。漏洞影響3.10.0及更早版本，vm2維護者建議使用者升級至vm2 3.10.3或更新版本

jsPDF的Node.js版本存在重大漏洞CVE-2025-68428，攻擊者可能透過生成的PDF檔案，未經授權存取伺服器本機檔案系統中的敏感資料

全端框架Nuxt 4.0正式版發表，專案結構重組、資料擷取效能與型別安全強化，Nuxt 3專案可平滑升級，舊版本支援至2026年1月底

資安業者Palo Alto Networks揭露用特定ASCII符號字元遮掩惡意程式碼的攻擊行動，駭客在3月下旬至4月攻擊近27萬個網站，植入以JSFireTruck（JSFuck）手法處理的惡意JavaScript程式碼，將瀏覽網站的使用者重新導向到惡意網站

Node.js 24預設採用新的非同步追蹤機制AsyncContextFrame，強化上下文穩定性與一致性，同時升級V8與NPM，提升整體效能與開發體驗

Elastic修補Kibana原型污染漏洞CVE-2025-25014，攻擊者可在啟用特定功能時發動遠端程式碼執行攻擊，用戶應盡速升級或關閉機器學習與報表模組以降低風險

V8引擎新功能Explicit Compile Hints，開發者可用註解，指定特定JavaScript檔案預先編譯，提高網頁載入效能，平均可減少630毫秒解析時間

Bun 1.2.12新增瀏覽器主控臺輸出串流至終端機功能，簡化除錯流程並支援人工智慧工具整合，另外，記憶體效率與Node.js相容性也同步改善