Plataforma
nodejs
Componente
@nyariv/sandboxjs
Corregido en
0.8.30
0.8.29
La vulnerabilidad CVE-2026-25587 es una falla de escape de sandbox crítica que afecta a la biblioteca @nyariv/sandboxjs para Node.js. Esta vulnerabilidad permite a un atacante evadir las restricciones del sandbox al sobreescribir el método has del prototipo Map. Afecta a versiones anteriores a 0.8.29 y se ha publicado el 5 de febrero de 2026, con una solución disponible.
La explotación exitosa de esta vulnerabilidad permite a un atacante escapar del entorno sandbox, obteniendo acceso a recursos y funcionalidades fuera de las restricciones impuestas. Esto podría resultar en la ejecución de código arbitrario en el sistema host, robo de datos sensibles o la toma de control completa del sistema. La vulnerabilidad se basa en una peculiaridad en la implementación de let que permite la manipulación del prototipo Map, similar a la explotación observada en CVE-2026-25142. El impacto potencial es significativo, especialmente en entornos donde @nyariv/sandboxjs se utiliza para aislar código no confiable.
La vulnerabilidad fue publicada el 5 de febrero de 2026. Existe un proof-of-concept (PoC) disponible, lo que indica una alta probabilidad de explotación. Aunque no se ha confirmado la explotación activa en campañas, la disponibilidad del PoC y la severidad de la vulnerabilidad sugieren que es un objetivo atractivo para los atacantes. Se recomienda aplicar la mitigación lo antes posible.
Applications utilizing @nyariv/sandboxjs to isolate untrusted code are at significant risk. This includes web applications, desktop applications, and any environment where JavaScript code is executed within a sandboxed environment. Projects relying on older versions of the library, particularly those with limited security monitoring, are especially vulnerable.
• nodejs / supply-chain:
npm list @nyariv/sandboxjs• nodejs / supply-chain:
npm audit @nyariv/sandboxjs• generic web: Inspect application code for usage of @nyariv/sandboxjs and any user-controlled data being used to modify Map objects.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-25587 es actualizar la biblioteca @nyariv/sandboxjs a la versión 0.8.29 o superior. Si la actualización causa problemas de compatibilidad, considere implementar una solución temporal restringiendo el acceso a Map.prototype dentro del sandbox. Esto puede lograrse mediante la creación de un nuevo prototipo Map y asignándolo a la variable utilizada dentro del sandbox, evitando así la manipulación del prototipo global. Monitoree los logs del sistema en busca de intentos de manipulación del prototipo Map o actividad sospechosa dentro del sandbox.
Actualice la biblioteca SandboxJS a la versión 0.8.29 o superior. Esta versión corrige la vulnerabilidad de escape de sandbox al evitar la manipulación del prototipo de Map. Para actualizar, use el administrador de paquetes correspondiente (por ejemplo, npm o yarn) e instale la versión más reciente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25587 is a critical prototype pollution vulnerability in @nyariv/sandboxjs that allows attackers to escape the sandbox by manipulating Map.prototype.has, potentially leading to code execution.
You are affected if you are using @nyariv/sandboxjs versions prior to 0.8.29. Assess your project dependencies immediately.
Upgrade to version 0.8.29 or later of @nyariv/sandboxjs. If immediate upgrade is not possible, implement temporary workarounds like input validation.
While no active exploitation campaigns have been confirmed, the critical severity and availability of a PoC suggest a high probability of exploitation.
Refer to the @nyariv/sandboxjs project repository and related security advisories for the latest information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.