प्लेटफ़ॉर्म
nodejs
घटक
@nyariv/sandboxjs
में ठीक किया गया
0.8.35
0.8.34
CVE-2026-26954 @nyariv/sandboxjs में एक गंभीर भेद्यता है जो सैंडबॉक्स से बचने की अनुमति देती है। यह भेद्यता हमलावरों को अनधिकृत कोड निष्पादित करने की अनुमति दे सकती है, जिससे संभावित रूप से सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता @nyariv/sandboxjs के संस्करण 0.8.34 से पहले के संस्करणों को प्रभावित करती है। प्रभावित सिस्टम को 0.8.34 में अपग्रेड करके इस भेद्यता को ठीक किया जा सकता है।
यह भेद्यता हमलावरों को सैंडबॉक्स से बचने और अनधिकृत कोड निष्पादित करने की अनुमति देती है। सैंडबॉक्स का उपयोग अक्सर असुरक्षित कोड को अलग करने और सिस्टम को संभावित नुकसान से बचाने के लिए किया जाता है। सैंडबॉक्स से बचने की क्षमता हमलावरों को सिस्टम पर पूर्ण नियंत्रण प्राप्त करने की अनुमति दे सकती है, जिससे डेटा चोरी, सिस्टम में बदलाव या अन्य दुर्भावनापूर्ण गतिविधियां हो सकती हैं। इस भेद्यता का उपयोग अन्य भेद्यताओं के साथ मिलकर अधिक व्यापक हमले शुरू करने के लिए भी किया जा सकता है। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो उपयोगकर्ता-प्रदानित कोड को निष्पादित करने के लिए सैंडबॉक्स का उपयोग करते हैं, जैसे कि ब्राउज़र एक्सटेंशन या स्क्रिप्टिंग इंजन।
CVE-2026-26954 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) कोड मौजूद है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। NVD को 2026-03-13 को प्रकाशित किया गया था। इस भेद्यता की संभावना मध्यम है क्योंकि PoC कोड सार्वजनिक रूप से उपलब्ध है, लेकिन शोषण के लिए विशिष्ट ज्ञान और कौशल की आवश्यकता होती है।
Applications utilizing @nyariv/sandboxjs to isolate untrusted code or user input are at significant risk. This includes web applications, desktop applications, and any environment where sandboxing is employed to enhance security. Projects relying on older versions of the library, particularly those with limited security monitoring, are especially vulnerable.
• nodejs / sandbox:
npm list @nyariv/sandboxjs• nodejs / sandbox: Check package.json for versions below 0.8.34. • nodejs / sandbox: Review application code for usage of @nyariv/sandboxjs and potential injection points.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (19% शतमक)
CISA SSVC
CVE-2026-26954 को कम करने के लिए, @nyariv/sandboxjs को संस्करण 0.8.34 में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो सैंडबॉक्स के भीतर निष्पादित किए जा रहे कोड को सीमित करने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं। इसमें सैंडबॉक्स के भीतर उपलब्ध फ़ंक्शन और संसाधनों को सीमित करना, और कोड को निष्पादित करने से पहले उसे मान्य करना शामिल है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग सैंडबॉक्स से बचने के प्रयासों का पता लगाने और उन्हें अवरुद्ध करने के लिए भी किया जा सकता है। सैंडबॉक्स के भीतर निष्पादित किए जा रहे कोड की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए सैंडबॉक्स के भीतर कोड का परीक्षण करें कि यह अपेक्षित रूप से काम कर रहा है और कोई नई भेद्यता नहीं है।
SandboxJS लाइब्रेरी को संस्करण 0.8.34 या उच्चतर में अपडेट करें। यह sandbox escape भेद्यता को ठीक कर देगा। अपडेट करने के लिए `npm update sandboxjs` या `yarn upgrade sandboxjs` चलाएँ।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-26954 @nyariv/sandboxjs में एक भेद्यता है जो हमलावरों को सैंडबॉक्स से बचने और अनधिकृत कोड निष्पादित करने की अनुमति देती है।
यदि आप @nyariv/sandboxjs के संस्करण 0.8.34 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
@nyariv/sandboxjs को संस्करण 0.8.34 में अपग्रेड करें।
CVE-2026-26954 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन सार्वजनिक PoC कोड मौजूद है।
कृपया @nyariv/sandboxjs प्रोजेक्ट के आधिकारिक वेबसाइट या GitHub रिपॉजिटरी पर जाएँ।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।