Plattform
nodejs
Komponente
@nyariv/sandboxjs
Behoben in
0.8.37
0.8.36
CVE-2026-34208 describes a global object injection vulnerability within the @nyariv/sandboxjs library. This flaw allows attackers to bypass intended security measures and inject arbitrary properties into host global objects. This can lead to persistent mutations across different sandbox instances running within the same process, potentially compromising the entire system. This affects versions of @nyariv/sandboxjs up to and including 0.8.36. Currently, there is no official patch available to address this vulnerability.
CVE-2026-34208 betrifft SandboxJS und ermöglicht es Angreifern, Sicherheitsvorkehrungen zu umgehen, die dazu dienen, direkte Änderungen an globalen Objekten zu verhindern. Die Schwachstelle liegt in einem freigelegten Konstruktorpfad, der es bösartigem Code ermöglicht, beliebige Eigenschaften an den globalen Objekten des Hosts zu schreiben. Dies ist besonders schwerwiegend, da diese Änderungen zwischen verschiedenen Sandbox-Instanzen bestehen bleiben können, die innerhalb desselben Prozesses ausgeführt werden, wodurch die Integrität der Anwendung gefährdet wird. Ein CVSS-Wert von 10,0 weist auf eine kritische Schwachstelle mit potenziell verheerenden Auswirkungen hin, insbesondere in Umgebungen, in denen SandboxJS zur Isolierung nicht vertrauenswürdigen Codes verwendet wird.
Ein Angreifer kann diese Schwachstelle ausnutzen, indem er bösartigen Code innerhalb der Sandbox injiziert, die SandboxJS verwendet. Dieser Code verwendet den Pfad this.constructor.call(target, attackerObject), um die globalen Objekte des Hosts zu ändern. Die Persistenz dieser Änderungen zwischen Sandbox-Instanzen innerhalb desselben Prozesses bedeutet, dass ein einziger erfolgreicher Angriff mehrere Bereiche der Anwendung gefährden kann. Die einfache Ausnutzbarkeit in Kombination mit dem hohen potenziellen Schaden macht diese Schwachstelle zu einem erheblichen Risiko für Anwendungen, die auf SandboxJS zur Codeisolierung angewiesen sind.
Applications utilizing @nyariv/sandboxjs for sandboxing JavaScript code are at risk, particularly those deployed in Node.js environments. This includes applications that dynamically execute user-provided code or interact with untrusted data sources. Shared hosting environments where multiple applications share the same Node.js process are especially vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @nyariv/sandboxjs• nodejs / server:
grep -r 'this.constructor.call(target, attackerObject)' ./node_modules/@nyariv/sandboxjs/• nodejs / server:
npm audit @nyariv/sandboxjsdisclosure
Exploit-Status
EPSS
0.18% (40% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abhilfemaßnahme für CVE-2026-34208 ist die Aktualisierung von SandboxJS auf Version 0.8.36 oder höher. Diese Version enthält eine Korrektur, die den anfälligen Konstruktorpfad blockiert. In der Zwischenzeit wird als vorübergehende Maßnahme empfohlen, den Zugriff auf Function.prototype.call innerhalb der Sandbox einzuschränken, obwohl dies die Funktionalität einiger Anwendungen beeinträchtigen kann. Es sollte eine Code-Analyse durchgeführt werden, um jegliche potenzielle Verwendung der Schwachstelle zu identifizieren und bei Bedarf zusätzliche Patches anzuwenden. Die Überwachung der Anwendungsprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren.
Actualice SandboxJS a la versión 0.8.36 o superior para mitigar la vulnerabilidad de escape de integridad de la sandbox. Esta actualización corrige el problema permitiendo que las asignaciones directas a objetos globales estén bloqueadas correctamente, evitando que el código malicioso escriba propiedades arbitrarias en los objetos globales del host.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SandboxJS ist eine JavaScript-Bibliothek, die eine isolierte Umgebung (Sandbox) für die Ausführung nicht vertrauenswürdigen Codes bereitstellt und den Zugriff auf globale Objekte und Funktionen des Hosts einschränkt.
Version 0.8.36 behebt die CVE-2026-34208-Schwachstelle, die es Angreifern ermöglicht, die Sicherheitsschutzmaßnahmen von SandboxJS zu umgehen.
Ein CVSS-Wert von 10,0 weist auf eine kritische Schwachstelle mit dem höchsten Schweregrad hin.
Als vorübergehende Maßnahme können Sie den Zugriff auf Function.prototype.call innerhalb der Sandbox einschränken, obwohl dies die Funktionalität beeinträchtigen kann.
Sie finden weitere Informationen über SandboxJS in ihrem GitHub-Repository und in ihrer offiziellen Dokumentation.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.