Plateforme
nodejs
Composant
@nyariv/sandboxjs
Corrigé dans
0.8.35
0.8.34
La vulnérabilité CVE-2026-26954 concerne une faille d'évasion de sandbox dans la bibliothèque JavaScript @nyariv/sandboxjs. Cette faille permet à un attaquant de s'échapper de l'environnement sandbox, potentiellement conduisant à une exécution de code à distance (RCE). Elle affecte les versions de @nyariv/sandboxjs antérieures à 0.8.34. Une correction est disponible et son application est fortement recommandée.
L'impact de cette vulnérabilité est critique. Un attaquant peut exploiter cette faille pour s'échapper de l'environnement sandbox et exécuter du code arbitraire sur le système hôte. Cela peut permettre de compromettre l'intégrité des données, de voler des informations sensibles, ou même de prendre le contrôle complet du serveur. La possibilité de construire des objets avec des propriétés de fonction, combinée à Object.fromEntries, est la clé de cette évasion. L'attaquant peut injecter du code malveillant qui sera exécuté avec les privilèges de l'application utilisant @nyariv/sandboxjs.
Cette vulnérabilité a été rendue publique le 13 mars 2026. Un proof-of-concept (PoC) est disponible, ce qui augmente le risque d'exploitation. La probabilité d'exploitation est considérée comme élevée (EPSS score non disponible). Il n'y a pas d'indications d'une campagne d'exploitation active à ce jour, mais la simplicité du PoC suggère que des acteurs malveillants pourraient l'exploiter rapidement.
Applications utilizing @nyariv/sandboxjs to isolate untrusted code or user input are at significant risk. This includes web applications, desktop applications, and any environment where sandboxing is employed to enhance security. Projects relying on older versions of the library, particularly those with limited security monitoring, are especially vulnerable.
• nodejs / sandbox:
npm list @nyariv/sandboxjs• nodejs / sandbox: Check package.json for versions below 0.8.34. • nodejs / sandbox: Review application code for usage of @nyariv/sandboxjs and potential injection points.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour @nyariv/sandboxjs vers la version 0.8.34 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement les fonctionnalités qui utilisent Object.fromEntries avec des données non fiables. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une analyse approfondie du code source et des entrées utilisateur peut aider à identifier et à bloquer les tentatives d'exploitation. Surveillez les logs de votre application pour détecter des activités suspectes liées à l'évasion de sandbox.
Actualisez la bibliothèque SandboxJS à la version 0.8.34 ou supérieure. Cela résoudra la vulnérabilité de sandbox escape. Exécutez `npm update sandboxjs` ou `yarn upgrade sandboxjs` pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-26954 is a critical vulnerability in @nyariv/sandboxjs allowing attackers to bypass sandbox restrictions through Function object manipulation, potentially leading to code execution.
You are affected if you are using @nyariv/sandboxjs versions 0.8.33 or earlier. Upgrade to 0.8.34 to resolve the issue.
Upgrade to @nyariv/sandboxjs version 0.8.34 or later. If immediate upgrade is not possible, implement stricter input validation.
While active exploitation is not confirmed, a public PoC exists, suggesting a potential for exploitation.
Refer to the @nyariv/sandboxjs project's repository and release notes for the official advisory and details on the fix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.