Plataforma
nodejs
Componente
@nyariv/sandboxjs
Corregido en
0.8.28
0.8.27
La vulnerabilidad CVE-2026-25142 es una ejecución remota de código (RCE) que afecta a la biblioteca @nyariv/sandboxjs para Node.js. Esta falla permite a un atacante escapar del entorno sandbox y ejecutar código arbitrario en el sistema. La vulnerabilidad se debe a una restricción inadecuada de lookupGetter, permitiendo el acceso a prototipos. La versión afectada es cualquier versión anterior a 0.8.27, y se recomienda actualizar inmediatamente.
La gravedad de esta vulnerabilidad radica en la posibilidad de ejecución remota de código. Un atacante puede explotar esta falla para inyectar y ejecutar código malicioso dentro del contexto del proceso que utiliza @nyariv/sandboxjs. Esto podría resultar en la toma de control completa del sistema, robo de datos sensibles, o la instalación de malware. El impacto es particularmente grave en entornos donde @nyariv/sandboxjs se utiliza para ejecutar código no confiable, como en entornos de desarrollo o pruebas. La capacidad de escapar del sandbox implica que las protecciones de seguridad implementadas por la biblioteca son completamente eludidas, permitiendo un acceso irrestricto al sistema subyacente.
La vulnerabilidad CVE-2026-25142 fue publicada el 2 de febrero de 2026. Existe un proof-of-concept (PoC) público disponible, lo que facilita la explotación por parte de atacantes. La alta puntuación CVSS de 10 indica un riesgo crítico. No se ha confirmado explotación activa en campañas conocidas, pero la disponibilidad del PoC aumenta la probabilidad de que se utilice en ataques dirigidos. Se recomienda monitorear activamente los sistemas afectados.
Applications utilizing @nyariv/sandboxjs for sandboxing or isolating untrusted code are at significant risk. This includes web applications, desktop applications, and any environment where user-provided code is executed within a controlled environment. Developers relying on SandboxJS for security should prioritize upgrading to the patched version.
• nodejs / supply-chain:
npm list @nyariv/sandboxjs• nodejs / supply-chain:
npm audit @nyariv/sandboxjs• nodejs / supply-chain:
grep -r "__lookupGetter__" node_modules/@nyariv/sandboxjs/disclosure
poc
patch
Estado del Exploit
EPSS
0.21% (43% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-25142 es actualizar la biblioteca @nyariv/sandboxjs a la versión 0.8.27 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización causa problemas de compatibilidad, considere realizar una reversión a una versión anterior conocida como estable, mientras se investiga la compatibilidad con la versión corregida. Como medida complementaria, revise el código que utiliza @nyariv/sandboxjs para identificar posibles puntos de entrada de código no confiable y aplicar validaciones adicionales. No existen reglas WAF o proxies específicas para esta vulnerabilidad, pero la monitorización del tráfico de red en busca de patrones sospechosos puede ayudar a detectar intentos de explotación.
Actualice la biblioteca SandboxJS a la versión 0.8.27 o superior. Esta versión corrige la vulnerabilidad de prototype pollution que permite la ejecución remota de código. Para actualizar, use el gestor de paquetes npm: `npm install sandboxjs@latest`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25142 is a critical Remote Code Execution vulnerability in the @nyariv/sandboxjs library, allowing attackers to escape the sandbox and execute arbitrary code.
You are affected if your application uses @nyariv/sandboxjs versions prior to 0.8.27. Check your project dependencies immediately.
Upgrade to version 0.8.27 or later of @nyariv/sandboxjs. If immediate upgrade is not possible, implement runtime checks to restrict prototype access.
While no active campaigns have been confirmed, a public proof-of-concept exists, increasing the risk of exploitation.
Refer to the @nyariv/sandboxjs GitHub repository for updates and advisories related to CVE-2026-25142.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.