SandboxJS Vulnerable to Prototype Pollution -> Sandbox Escape -> RCE
Plataforma
nodejs
Componente
@nyariv/sandboxjs
Corregido en
0.8.28
0.8.27
La vulnerabilidad CVE-2026-25142 es una ejecución remota de código (RCE) que afecta a la biblioteca @nyariv/sandboxjs para Node.js. Esta falla permite a un atacante escapar del entorno sandbox y ejecutar código arbitrario en el sistema. La vulnerabilidad se debe a una restricción inadecuada de lookupGetter, permitiendo el acceso a prototipos. La versión afectada es cualquier versión anterior a 0.8.27, y se recomienda actualizar inmediatamente.
Impacto y Escenarios de Ataque
La gravedad de esta vulnerabilidad radica en la posibilidad de ejecución remota de código. Un atacante puede explotar esta falla para inyectar y ejecutar código malicioso dentro del contexto del proceso que utiliza @nyariv/sandboxjs. Esto podría resultar en la toma de control completa del sistema, robo de datos sensibles, o la instalación de malware. El impacto es particularmente grave en entornos donde @nyariv/sandboxjs se utiliza para ejecutar código no confiable, como en entornos de desarrollo o pruebas. La capacidad de escapar del sandbox implica que las protecciones de seguridad implementadas por la biblioteca son completamente eludidas, permitiendo un acceso irrestricto al sistema subyacente.
Contexto de Explotación
La vulnerabilidad CVE-2026-25142 fue publicada el 2 de febrero de 2026. Existe un proof-of-concept (PoC) público disponible, lo que facilita la explotación por parte de atacantes. La alta puntuación CVSS de 10 indica un riesgo crítico. No se ha confirmado explotación activa en campañas conocidas, pero la disponibilidad del PoC aumenta la probabilidad de que se utilice en ataques dirigidos. Se recomienda monitorear activamente los sistemas afectados.
Quién Está en Riesgotraduciendo…
Applications utilizing @nyariv/sandboxjs for sandboxing or isolating untrusted code are at significant risk. This includes web applications, desktop applications, and any environment where user-provided code is executed within a controlled environment. Developers relying on SandboxJS for security should prioritize upgrading to the patched version.
Pasos de Deteccióntraduciendo…
• nodejs / supply-chain:
npm list @nyariv/sandboxjs• nodejs / supply-chain:
npm audit @nyariv/sandboxjs• nodejs / supply-chain:
grep -r "__lookupGetter__" node_modules/@nyariv/sandboxjs/Cronología del Ataque
- Disclosure
disclosure
- PoC
poc
- Patch
patch
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.21% (43% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2026-25142 es actualizar la biblioteca @nyariv/sandboxjs a la versión 0.8.27 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización causa problemas de compatibilidad, considere realizar una reversión a una versión anterior conocida como estable, mientras se investiga la compatibilidad con la versión corregida. Como medida complementaria, revise el código que utiliza @nyariv/sandboxjs para identificar posibles puntos de entrada de código no confiable y aplicar validaciones adicionales. No existen reglas WAF o proxies específicas para esta vulnerabilidad, pero la monitorización del tráfico de red en busca de patrones sospechosos puede ayudar a detectar intentos de explotación.
Cómo corregirlo
Actualice la biblioteca SandboxJS a la versión 0.8.27 o superior. Esta versión corrige la vulnerabilidad de prototype pollution que permite la ejecución remota de código. Para actualizar, use el gestor de paquetes npm: `npm install sandboxjs@latest`.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2026-25142 — RCE in @nyariv/sandboxjs?
CVE-2026-25142 is a critical Remote Code Execution vulnerability in the @nyariv/sandboxjs library, allowing attackers to escape the sandbox and execute arbitrary code.
Am I affected by CVE-2026-25142 in @nyariv/sandboxjs?
You are affected if your application uses @nyariv/sandboxjs versions prior to 0.8.27. Check your project dependencies immediately.
How do I fix CVE-2026-25142 in @nyariv/sandboxjs?
Upgrade to version 0.8.27 or later of @nyariv/sandboxjs. If immediate upgrade is not possible, implement runtime checks to restrict prototype access.
Is CVE-2026-25142 being actively exploited?
While no active campaigns have been confirmed, a public proof-of-concept exists, increasing the risk of exploitation.
Where can I find the official @nyariv/sandboxjs advisory for CVE-2026-25142?
Refer to the @nyariv/sandboxjs GitHub repository for updates and advisories related to CVE-2026-25142.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.