प्लेटफ़ॉर्म
nodejs
घटक
@nyariv/sandboxjs
में ठीक किया गया
0.8.37
0.8.36
CVE-2026-34208, @nyariv/sandboxjs में 0.8.36 और उससे पहले के संस्करणों में एक सैंडबॉक्स बाईपास भेद्यता है। SandboxJS वैश्विक ऑब्जेक्ट्स को सीधे असाइनमेंट को रोकता है, लेकिन इस सुरक्षा को एक उजागर कॉल करने योग्य कंस्ट्रक्टर पथ के माध्यम से बायपास किया जा सकता है। हमलावर कोड होस्ट ग्लोबल ऑब्जेक्ट्स में मनमानी गुण लिख सकता है और उसी प्रक्रिया में सैंडबॉक्स उदाहरणों में उन उत्परिवर्तनों को बनाए रख सकता है। इस समस्या को ठीक करने के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
CVE-2026-34208 SandboxJS को प्रभावित करता है, जिससे हमलावरों को वैश्विक वस्तुओं में प्रत्यक्ष संशोधन को रोकने के लिए डिज़ाइन किए गए सुरक्षात्मक उपायों को दरकिनार करने की अनुमति मिलती है। भेद्यता एक उजागर कंस्ट्रक्टर पथ में निहित है जो दुर्भावनापूर्ण कोड को होस्ट के वैश्विक वस्तुओं में मनमाना गुण लिखने की अनुमति देता है। यह विशेष रूप से गंभीर है क्योंकि इन संशोधनों को एक ही प्रक्रिया के भीतर संचालित होने वाले विभिन्न सैंडबॉक्स उदाहरणों के बीच कायम रह सकता है, जिससे एप्लिकेशन की अखंडता से समझौता होता है। CVSS स्कोर 10.0 एक गंभीर भेद्यता का संकेत देता है जिसमें संभावित रूप से विनाशकारी प्रभाव पड़ता है, खासकर उन वातावरणों में जहां SandboxJS का उपयोग अविश्वसनीय कोड को अलग करने के लिए किया जाता है।
एक हमलावर SandboxJS का उपयोग करने वाले सैंडबॉक्स के भीतर दुर्भावनापूर्ण कोड इंजेक्ट करके इस भेद्यता का फायदा उठा सकता है। यह कोड होस्ट के वैश्विक वस्तुओं को संशोधित करने के लिए this.constructor.call(target, attackerObject) पथ का उपयोग करेगा। एक ही प्रक्रिया के भीतर सैंडबॉक्स उदाहरणों के बीच इन संशोधनों की दृढ़ता का मतलब है कि एक सफल हमला एप्लिकेशन के कई क्षेत्रों को खतरे में डाल सकता है। शोषण में आसानी, संभावित उच्च प्रभाव के साथ मिलकर, इस भेद्यता को कोड अलगाव के लिए SandboxJS पर निर्भर अनुप्रयोगों के लिए एक महत्वपूर्ण जोखिम बनाता है।
Applications utilizing @nyariv/sandboxjs for sandboxing JavaScript code are at risk, particularly those deployed in Node.js environments. This includes applications that dynamically execute user-provided code or interact with untrusted data sources. Shared hosting environments where multiple applications share the same Node.js process are especially vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @nyariv/sandboxjs• nodejs / server:
grep -r 'this.constructor.call(target, attackerObject)' ./node_modules/@nyariv/sandboxjs/• nodejs / server:
npm audit @nyariv/sandboxjsdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.18% (40% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34208 के लिए प्राथमिक शमन SandboxJS को संस्करण 0.8.36 या बाद के संस्करण में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो उजागर कंस्ट्रक्टर पथ को अवरुद्ध करता है। इस बीच, एक अस्थायी उपाय के रूप में, सैंडबॉक्स के भीतर Function.prototype.call तक पहुंच को प्रतिबंधित करने की सिफारिश की जाती है, हालांकि यह कुछ अनुप्रयोगों की कार्यक्षमता को प्रभावित कर सकता है। किसी भी संभावित उपयोग की पहचान करने और यदि आवश्यक हो तो अतिरिक्त पैच लागू करने के लिए कोड ऑडिट किया जाना चाहिए। संदिग्ध गतिविधि के लिए एप्लिकेशन लॉग की निगरानी भी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में मदद कर सकती है।
Actualice SandboxJS a la versión 0.8.36 o superior para mitigar la vulnerabilidad de escape de integridad de la sandbox. Esta actualización corrige el problema permitiendo que las asignaciones directas a objetos globales estén bloqueadas correctamente, evitando que el código malicioso escriba propiedades arbitrarias en los objetos globales del host.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SandboxJS एक JavaScript लाइब्रेरी है जो अविश्वसनीय कोड को निष्पादित करने के लिए एक अलग वातावरण (सैंडबॉक्स) प्रदान करती है, जिससे इसकी होस्ट वैश्विक वस्तुओं और कार्यों तक पहुंच सीमित हो जाती है।
संस्करण 0.8.36 CVE-2026-34208 भेद्यता को ठीक करता है, जो हमलावरों को SandboxJS के सुरक्षात्मक उपायों को दरकिनार करने की अनुमति देता है।
CVSS स्कोर 10.0 एक गंभीर भेद्यता का संकेत देता है जिसमें उच्चतम गंभीरता स्तर होता है।
एक अस्थायी उपाय के रूप में, आप सैंडबॉक्स के भीतर Function.prototype.call तक पहुंच को प्रतिबंधित कर सकते हैं, हालांकि यह कुछ अनुप्रयोगों की कार्यक्षमता को प्रभावित कर सकता है।
आप इसके GitHub रिपॉजिटरी और आधिकारिक दस्तावेज़ में SandboxJS के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।