Kostenlos scannen
CRITICALCVE-2026-34208CVSS 10

SandboxJS: Sandbox-Integritätsausbruch

Plattform

nodejs

Komponente

@nyariv/sandboxjs

Behoben in

0.8.37

0.8.36

AI Confidence: highNVDEPSS 0.2%Geprüft: Mai 2026
Auf NVD ansehen
Speichern

CVE-2026-34208 describes a global object injection vulnerability within the @nyariv/sandboxjs library. This flaw allows attackers to bypass intended security measures and inject arbitrary properties into host global objects. This can lead to persistent mutations across different sandbox instances running within the same process, potentially compromising the entire system. This affects versions of @nyariv/sandboxjs up to and including 0.8.36. Currently, there is no official patch available to address this vulnerability.

Auswirkungen und Angriffsszenarien

CVE-2026-34208 betrifft SandboxJS und ermöglicht es Angreifern, Sicherheitsvorkehrungen zu umgehen, die dazu dienen, direkte Änderungen an globalen Objekten zu verhindern. Die Schwachstelle liegt in einem freigelegten Konstruktorpfad, der es bösartigem Code ermöglicht, beliebige Eigenschaften an den globalen Objekten des Hosts zu schreiben. Dies ist besonders schwerwiegend, da diese Änderungen zwischen verschiedenen Sandbox-Instanzen bestehen bleiben können, die innerhalb desselben Prozesses ausgeführt werden, wodurch die Integrität der Anwendung gefährdet wird. Ein CVSS-Wert von 10,0 weist auf eine kritische Schwachstelle mit potenziell verheerenden Auswirkungen hin, insbesondere in Umgebungen, in denen SandboxJS zur Isolierung nicht vertrauenswürdigen Codes verwendet wird.

Ausnutzungskontext

Ein Angreifer kann diese Schwachstelle ausnutzen, indem er bösartigen Code innerhalb der Sandbox injiziert, die SandboxJS verwendet. Dieser Code verwendet den Pfad this.constructor.call(target, attackerObject), um die globalen Objekte des Hosts zu ändern. Die Persistenz dieser Änderungen zwischen Sandbox-Instanzen innerhalb desselben Prozesses bedeutet, dass ein einziger erfolgreicher Angriff mehrere Bereiche der Anwendung gefährden kann. Die einfache Ausnutzbarkeit in Kombination mit dem hohen potenziellen Schaden macht diese Schwachstelle zu einem erheblichen Risiko für Anwendungen, die auf SandboxJS zur Codeisolierung angewiesen sind.

Wer Ist Gefährdetwird übersetzt…

Applications utilizing @nyariv/sandboxjs for sandboxing JavaScript code are at risk, particularly those deployed in Node.js environments. This includes applications that dynamically execute user-provided code or interact with untrusted data sources. Shared hosting environments where multiple applications share the same Node.js process are especially vulnerable, as a compromise in one application could potentially affect others.

Erkennungsschrittewird übersetzt…

• nodejs / server:

  npm list @nyariv/sandboxjs

• nodejs / server:

  grep -r 'this.constructor.call(target, attackerObject)' ./node_modules/@nyariv/sandboxjs/

• nodejs / server:

  npm audit @nyariv/sandboxjs

Angriffszeitlinie

  1. Disclosure

    disclosure

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

EPSS

0.18% (40% Perzentil)

CISA SSVC

Ausnutzungpoc
Automatisierbaryes
Technische Auswirkungtotal

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L10.0CRITICALAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityLowRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Niedrig — partieller oder intermittierender Denial of Service.

Betroffene Software

Komponente@nyariv/sandboxjs
Herstellerosv
Betroffener BereichBehoben in
< 0.8.36 – < 0.8.360.8.37
0.8.36

Schwachstellen-Klassifikation (CWE)

CWE-693CWE-915

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert

Mitigation und Workarounds

Die primäre Abhilfemaßnahme für CVE-2026-34208 ist die Aktualisierung von SandboxJS auf Version 0.8.36 oder höher. Diese Version enthält eine Korrektur, die den anfälligen Konstruktorpfad blockiert. In der Zwischenzeit wird als vorübergehende Maßnahme empfohlen, den Zugriff auf Function.prototype.call innerhalb der Sandbox einzuschränken, obwohl dies die Funktionalität einiger Anwendungen beeinträchtigen kann. Es sollte eine Code-Analyse durchgeführt werden, um jegliche potenzielle Verwendung der Schwachstelle zu identifizieren und bei Bedarf zusätzliche Patches anzuwenden. Die Überwachung der Anwendungsprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren.

So behebenwird übersetzt…

Actualice SandboxJS a la versión 0.8.36 o superior para mitigar la vulnerabilidad de escape de integridad de la sandbox. Esta actualización corrige el problema permitiendo que las asignaciones directas a objetos globales estén bloqueadas correctamente, evitando que el código malicioso escriba propiedades arbitrarias en los objetos globales del host.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragen

Was ist CVE-2026-34208 in @nyariv/sandboxjs?

SandboxJS ist eine JavaScript-Bibliothek, die eine isolierte Umgebung (Sandbox) für die Ausführung nicht vertrauenswürdigen Codes bereitstellt und den Zugriff auf globale Objekte und Funktionen des Hosts einschränkt.

Bin ich von CVE-2026-34208 in @nyariv/sandboxjs betroffen?

Version 0.8.36 behebt die CVE-2026-34208-Schwachstelle, die es Angreifern ermöglicht, die Sicherheitsschutzmaßnahmen von SandboxJS zu umgehen.

Wie behebe ich CVE-2026-34208 in @nyariv/sandboxjs?

Ein CVSS-Wert von 10,0 weist auf eine kritische Schwachstelle mit dem höchsten Schweregrad hin.

Wird CVE-2026-34208 aktiv ausgenutzt?

Als vorübergehende Maßnahme können Sie den Zugriff auf Function.prototype.call innerhalb der Sandbox einschränken, obwohl dies die Funktionalität beeinträchtigen kann.

Wo finde ich den offiziellen @nyariv/sandboxjs-Hinweis für CVE-2026-34208?

Sie finden weitere Informationen über SandboxJS in ihrem GitHub-Repository und in ihrer offiziellen Dokumentation.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen