La vulnérabilité CVE-2026-5752 représente un dépassement de sandbox critique découvert dans la bibliothèque cohere-terrarium. Cette faille permet à un attaquant d'exécuter du code arbitraire avec des privilèges root sur le processus hôte. Elle affecte les versions 1.0.0 à 1.0.1 de cohere-terrarium et a été corrigée dans la version 1.0.2.
L'impact de cette vulnérabilité est extrêmement élevé. Un attaquant exploitant avec succès CVE-2026-5752 peut obtenir un contrôle total sur le système hôte. La traversée de la chaîne de prototypes JavaScript permet de contourner les mesures de sécurité du sandbox, ouvrant la voie à l'exécution de code malveillant avec les privilèges root. Cela peut entraîner la compromission complète du système, la perte de données sensibles, l'installation de logiciels malveillants et l'utilisation du système compromis pour lancer d'autres attaques. Le risque est exacerbé par le fait que cohere-terrarium est souvent utilisé dans des environnements de développement et de test, ce qui pourrait permettre à un attaquant de compromettre des données sensibles ou d'accéder à des systèmes de production.
La vulnérabilité CVE-2026-5752 a été rendue publique le 2026-04-14. Il n'y a pas d'indications d'une inscription sur KEV à ce jour. La probabilité d'exploitation est considérée comme moyenne, car la vulnérabilité nécessite une certaine expertise technique pour être exploitée avec succès. Aucun proof-of-concept public n'est actuellement disponible, mais la nature de la vulnérabilité (dépassement de sandbox) la rend potentiellement attrayante pour les acteurs malveillants.
Organizations utilizing cohere-terrarium for sandboxing or code execution are at risk, particularly those relying on versions 1.0.0 through 1.0.1. Environments where Terrarium is used to execute untrusted code or process user-supplied data are especially vulnerable. Development teams using Terrarium for testing or experimentation should also prioritize patching.
• javascript / sandbox:
// Monitor for prototype chain modifications within the Terrarium sandbox.
// This is a simplified example and requires adaptation to the specific Terrarium implementation.
Object.prototype.__proto__ = { malicious: 'code' };• javascript / sandbox: Inspect JavaScript code for prototype manipulation attempts. • javascript / sandbox: Review Terrarium configuration for overly permissive sandbox settings.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
La mitigation immédiate consiste à mettre à niveau cohere-terrarium vers la version 1.0.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, envisagez de désactiver temporairement les fonctionnalités de cohere-terrarium qui pourraient être exploitées. En attendant, examinez attentivement le code qui utilise cohere-terrarium pour identifier et corriger toute utilisation potentiellement dangereuse de la chaîne de prototypes JavaScript. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue du trafic réseau et des processus système peut aider à détecter une exploitation potentielle. Une analyse statique du code peut également aider à identifier les points d'entrée potentiels pour l'exploitation.
Mettez à jour vers la version 1.0.2 ou ultérieure pour atténuer la vulnérabilité d'évasion de sandbox. Cette mise à jour corrige la possibilité d'exécution de code arbitraire avec les privilèges root via la manipulation de la chaîne de prototypes JavaScript.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5752 is a sandbox escape vulnerability in cohere-terrarium versions 1.0.0–1.0.1, allowing attackers to execute arbitrary code with root privileges through JavaScript prototype chain traversal.
You are affected if you are using cohere-terrarium versions 1.0.0 through 1.0.1. Upgrade to version 1.0.2 or later to mitigate the risk.
Upgrade cohere-terrarium to version 1.0.2 or later. If immediate upgrade is not possible, implement stricter input validation and monitor sandbox execution.
While no active exploitation has been confirmed, the vulnerability's severity and potential for easy exploitation make it a likely target.
Refer to the official cohere-terrarium project website or security mailing list for the advisory related to CVE-2026-5752.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.