Plataforma
nodejs
Componente
@nyariv/sandboxjs
Corregido en
0.8.35
0.8.34
La vulnerabilidad CVE-2026-26954 afecta a la librería @nyariv/sandboxjs, permitiendo un escape del sandbox. Esto se logra mediante la manipulación de objetos dentro del entorno sandbox, lo que puede resultar en la ejecución de código arbitrario. La vulnerabilidad afecta a versiones anteriores a 0.8.34 y ha sido solucionada en esta versión. Se recomienda actualizar la librería para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para escapar del entorno sandbox de @nyariv/sandboxjs y ejecutar código malicioso en el sistema. La técnica implica obtener arrays que contengan objetos Function y luego utilizarlos para construir objetos arbitrarios dentro del sandbox. Esto permite a un atacante acceder a recursos y funcionalidades fuera del entorno sandbox, comprometiendo la seguridad de la aplicación. La ejecución de código arbitrario puede llevar al robo de datos sensibles, la modificación de la configuración del sistema o incluso el control total del servidor.
La vulnerabilidad CVE-2026-26954 fue publicada el 13 de marzo de 2026. Existe un proof-of-concept (PoC) público disponible, lo que indica una alta probabilidad de explotación. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad del PoC aumenta el riesgo. Se recomienda monitorear la librería @nyariv/sandboxjs y sus dependencias en busca de nuevas amenazas.
Applications utilizing @nyariv/sandboxjs to isolate untrusted code or user input are at significant risk. This includes web applications, desktop applications, and any environment where sandboxing is employed to enhance security. Projects relying on older versions of the library, particularly those with limited security monitoring, are especially vulnerable.
• nodejs / sandbox:
npm list @nyariv/sandboxjs• nodejs / sandbox: Check package.json for versions below 0.8.34. • nodejs / sandbox: Review application code for usage of @nyariv/sandboxjs and potential injection points.
disclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-26954 es actualizar la librería @nyariv/sandboxjs a la versión 0.8.34 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar el código que utiliza la librería para identificar posibles puntos de entrada de explotación. Aunque no existe una solución alternativa directa, se puede considerar la implementación de controles de acceso más estrictos dentro del sandbox para limitar el impacto de una posible explotación. Verifique después de la actualización que el sandbox funcione correctamente y que no se puedan ejecutar funciones no autorizadas.
Actualice la biblioteca SandboxJS a la versión 0.8.34 o superior. Esto solucionará la vulnerabilidad de escape de sandbox. Ejecute `npm update sandboxjs` o `yarn upgrade sandboxjs` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26954 is a critical vulnerability in @nyariv/sandboxjs allowing attackers to bypass sandbox restrictions through Function object manipulation, potentially leading to code execution.
You are affected if you are using @nyariv/sandboxjs versions 0.8.33 or earlier. Upgrade to 0.8.34 to resolve the issue.
Upgrade to @nyariv/sandboxjs version 0.8.34 or later. If immediate upgrade is not possible, implement stricter input validation.
While active exploitation is not confirmed, a public PoC exists, suggesting a potential for exploitation.
Refer to the @nyariv/sandboxjs project's repository and release notes for the official advisory and details on the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.