Plateforme
nodejs
Composant
@nyariv/sandboxjs
Corrigé dans
0.8.37
0.8.36
La vulnérabilité CVE-2026-34208 affecte la bibliothèque @nyariv/sandboxjs. Elle permet de contourner les protections contre les assignations directes aux objets globaux, permettant ainsi d'écrire des propriétés arbitraires dans les objets globaux de l'hôte. Les versions 0.8.36 et antérieures sont concernées. Il n'existe pas de correctif officiel à ce jour.
La CVE-2026-34208 affecte SandboxJS, permettant aux attaquants de contourner les protections de sécurité conçues pour empêcher les modifications directes des objets globaux. La vulnérabilité réside dans un chemin de constructeur exposé qui permet au code malveillant d'écrire des propriétés arbitraires sur les objets globaux de l'hôte. Ceci est particulièrement grave car ces modifications peuvent persister entre différentes instances de sandbox fonctionnant au sein du même processus, compromettant l'intégrité de l'application. Un score CVSS de 10.0 indique une vulnérabilité critique avec un impact potentiellement dévastateur, en particulier dans les environnements où SandboxJS est utilisé pour isoler le code non fiable.
Un attaquant peut exploiter cette vulnérabilité en injectant du code malveillant dans le sandbox qui utilise SandboxJS. Ce code utilisera le chemin this.constructor.call(target, attackerObject) pour modifier les objets globaux de l'hôte. La persistance de ces modifications entre les instances de sandbox au sein du même processus signifie qu'une seule attaque réussie peut compromettre plusieurs zones de l'application. La facilité d'exploitation, combinée à l'impact potentiel élevé, fait de cette vulnérabilité un risque important pour les applications qui dépendent de SandboxJS pour l'isolation du code.
Applications utilizing @nyariv/sandboxjs for sandboxing JavaScript code are at risk, particularly those deployed in Node.js environments. This includes applications that dynamically execute user-provided code or interact with untrusted data sources. Shared hosting environments where multiple applications share the same Node.js process are especially vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @nyariv/sandboxjs• nodejs / server:
grep -r 'this.constructor.call(target, attackerObject)' ./node_modules/@nyariv/sandboxjs/• nodejs / server:
npm audit @nyariv/sandboxjsdisclosure
Statut de l'Exploit
EPSS
0.18% (percentile 40%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour la CVE-2026-34208 consiste à mettre à jour SandboxJS vers la version 0.8.36 ou ultérieure. Cette version inclut une correction qui bloque le chemin de constructeur vulnérable. En attendant, comme mesure temporaire, il est recommandé de restreindre l'accès à Function.prototype.call à l'intérieur du sandbox, bien que cela puisse affecter la fonctionnalité de certaines applications. Une analyse du code doit être effectuée pour identifier toute utilisation potentielle de la vulnérabilité et appliquer des correctifs supplémentaires si nécessaire. Surveiller les journaux de l'application à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles.
Actualice SandboxJS a la versión 0.8.36 o superior para mitigar la vulnerabilidad de escape de integridad de la sandbox. Esta actualización corrige el problema permitiendo que las asignaciones directas a objetos globales estén bloqueadas correctamente, evitando que el código malicioso escriba propiedades arbitrarias en los objetos globales del host.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SandboxJS est une bibliothèque JavaScript qui fournit un environnement isolé (sandbox) pour exécuter du code non fiable, limitant son accès aux objets globaux et aux fonctions de l'hôte.
La version 0.8.36 corrige la vulnérabilité CVE-2026-34208, qui permet aux attaquants de contourner les protections de sécurité de SandboxJS.
Un score CVSS de 10.0 indique une vulnérabilité critique avec le niveau de gravité maximal.
Comme mesure temporaire, vous pouvez restreindre l'accès à Function.prototype.call à l'intérieur du sandbox, bien que cela puisse affecter la fonctionnalité.
Vous pouvez trouver plus d'informations sur SandboxJS sur son dépôt GitHub et sa documentation officielle.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.