Plateforme
nodejs
Composant
@nyariv/sandboxjs
Corrigé dans
0.8.30
0.8.29
La vulnérabilité CVE-2026-25587 concerne une faille d'évasion de sandbox dans le module Node.js @nyariv/sandboxjs, affectant les versions inférieures ou égales à 0.8.28. Cette faille permet à un attaquant de s'échapper de l'environnement sandbox en écrasant la méthode has du prototype Map. Une version corrigée, 0.8.29, est désormais disponible et doit être appliquée rapidement.
L'impact de cette vulnérabilité est critique car elle permet une évasion complète de l'environnement sandbox. Un attaquant peut potentiellement exécuter du code arbitraire sur le système hôte, compromettant ainsi la sécurité de l'application et des données sensibles. Cette faille est similaire à CVE-2026-25142, mais exploite une particularité de l'implémentation de let qui permet d'accéder au prototype Map. L'évasion de sandbox peut mener à la compromission de l'ensemble du serveur et à la perte de confidentialité et d'intégrité des données.
Cette vulnérabilité a été rendue publique le 5 février 2026. Un proof-of-concept (PoC) est disponible, ce qui augmente la probabilité d'exploitation. Bien qu'il n'y ait pas de confirmation d'exploitation active à ce jour, la gravité critique de la vulnérabilité et la disponibilité d'un PoC indiquent un risque élevé. Il est conseillé de surveiller les forums de sécurité et les alertes de vulnérabilités pour toute information sur des campagnes d'exploitation.
Applications utilizing @nyariv/sandboxjs to isolate untrusted code are at significant risk. This includes web applications, desktop applications, and any environment where JavaScript code is executed within a sandboxed environment. Projects relying on older versions of the library, particularly those with limited security monitoring, are especially vulnerable.
• nodejs / supply-chain:
npm list @nyariv/sandboxjs• nodejs / supply-chain:
npm audit @nyariv/sandboxjs• generic web: Inspect application code for usage of @nyariv/sandboxjs and any user-controlled data being used to modify Map objects.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le module @nyariv/sandboxjs vers la version 0.8.29 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement l'utilisation du module ou de restreindre les permissions de l'environnement sandbox. En attendant la mise à jour, il n'existe pas de contournement direct, mais une analyse rigoureuse du code source pour détecter et bloquer les tentatives d'écrasement de Map.prototype.has peut être envisagée. Après la mise à jour, vérifiez que le module est bien à jour en exécutant npm list @nyariv/sandboxjs et assurez-vous que la version affichée est 0.8.29 ou supérieure.
Mettez à jour la bibliothèque SandboxJS à la version 0.8.29 ou supérieure. Cette version corrige la vulnérabilité d'évasion de sandbox en empêchant la manipulation du prototype de Map. Pour mettre à jour, utilisez le gestionnaire de paquets correspondant (par exemple, npm ou yarn) et installez la dernière version.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-25587 is a critical prototype pollution vulnerability in @nyariv/sandboxjs that allows attackers to escape the sandbox by manipulating Map.prototype.has, potentially leading to code execution.
You are affected if you are using @nyariv/sandboxjs versions prior to 0.8.29. Assess your project dependencies immediately.
Upgrade to version 0.8.29 or later of @nyariv/sandboxjs. If immediate upgrade is not possible, implement temporary workarounds like input validation.
While no active exploitation campaigns have been confirmed, the critical severity and availability of a PoC suggest a high probability of exploitation.
Refer to the @nyariv/sandboxjs project repository and related security advisories for the latest information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.