CRITICALCVE-2026-25142CVSS 10

SandboxJS プロトタイプ汚染の脆弱性 -> サンドボックスからの脱出 -> RCE

Q: CVE-2026-25142 in @nyariv/sandboxjsの影響はありますか？

はい、影響があります。バージョン0.8.27より前の@nyariv/sandboxjsを使用している場合、この脆弱性により攻撃者がシステム上で任意のコードを実行されるリスクがあります。

Q: CVE-2026-25142 in @nyariv/sandboxjsを修正するにはどうすればよいですか？

この脆弱性を修正するには、@nyariv/sandboxjsをバージョン0.8.27にアップデートしてください。アップデートできない場合は、SandboxJSの使用を一時的に停止するか、サンドボックス内で実行されるコードを厳密に制限することを検討してください。

Q: @nyariv/sandboxjsのCVE-2026-25142に関する公式アドバイザリはどこで入手できますか？

公式アドバイザリは、GitHubリポジトリのissueトラッカーで確認できます: https://github.com/nyariv/SandboxJS/issues

プラットフォーム

nodejs

コンポーネント

@nyariv/sandboxjs

修正版

0.8.28

0.8.27

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-25142は、Node.jsパッケージ@nyariv/sandboxjsにおけるRemote Code Execution (RCE)脆弱性です。この脆弱性は、サンドボックスの制限を回避し、攻撃者が任意のコードを実行することを可能にします。影響を受けるバージョンは0.8.27より前のものです。2026年2月2日に公開され、0.8.27へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は非常に深刻であり、攻撃者はサンドボックスを完全にバイパスし、ホストシステム上で任意のコードを実行できる可能性があります。攻撃者は、この脆弱性を悪用して機密情報を盗んだり、システムを完全に制御したりする可能性があります。SandboxJSは、JavaScriptコードを安全な環境で実行するために使用されるため、この脆弱性の悪用は広範囲にわたる影響を及ぼす可能性があります。攻撃者は、悪意のあるコードをSandboxJSを介して実行し、システムに損害を与える可能性があります。

悪用の状況

この脆弱性は、公開されているPoCが存在するため、悪用される可能性が高いと考えられます。KEVへの登録状況は不明ですが、CVSSスコアが10 (CRITICAL)であることから、高リスクの脆弱性として認識されるべきです。攻撃者は、この脆弱性を悪用して、Node.jsアプリケーションを標的とする攻撃キャンペーンを開始する可能性があります。

リスク対象者翻訳中…

Applications utilizing @nyariv/sandboxjs for sandboxing or isolating untrusted code are at significant risk. This includes web applications, desktop applications, and any environment where user-provided code is executed within a controlled environment. Developers relying on SandboxJS for security should prioritize upgrading to the patched version.

検出手順翻訳中…

• nodejs / supply-chain:

  npm list @nyariv/sandboxjs

• nodejs / supply-chain:

  npm audit @nyariv/sandboxjs

• nodejs / supply-chain:

  grep -r "__lookupGetter__" node_modules/@nyariv/sandboxjs/

攻撃タイムライン

2026-02-02Disclosure
disclosure
2026-02-02PoC
poc
2026-02-02Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.21% (43% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネント@nyariv/sandboxjs

ベンダーosv

影響範囲修正版

< 0.8.27 – < 0.8.270.8.28

—0.8.27

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2026-01-29
公開日2026-02-02
更新日2026-02-18
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最善の対応は、@nyariv/sandboxjsをバージョン0.8.27にアップデートすることです。アップデートできない場合は、SandboxJSの使用を一時的に停止するか、サンドボックス内で実行されるコードを厳密に制限することを検討してください。WAFやプロキシサーバーを使用して、悪意のあるコードの実行をブロックすることも有効です。アップデート後、SandboxJSの動作をテストし、脆弱性が修正されていることを確認してください。

修正方法

SandboxJS ライブラリをバージョン 0.8.27 以降にアップデートしてください。このバージョンは、リモートコード実行を可能にするプロトタイプ汚染の脆弱性を修正しています。アップデートするには、npm パッケージマネージャーを使用してください: `npm install sandboxjs@latest`。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-25142 — RCE in @nyariv/sandboxjsとは何ですか？

CVE-2026-25142は、Node.jsパッケージ@nyariv/sandboxjsにおけるRemote Code Execution (RCE)脆弱性です。lookupGetterの不適切な制限により、サンドボックスを脱出し、攻撃者が任意のコードを実行できるようになります。

CVE-2026-25142 in @nyariv/sandboxjsの影響はありますか？

はい、影響があります。バージョン0.8.27より前の@nyariv/sandboxjsを使用している場合、この脆弱性により攻撃者がシステム上で任意のコードを実行されるリスクがあります。

CVE-2026-25142 in @nyariv/sandboxjsを修正するにはどうすればよいですか？

この脆弱性を修正するには、@nyariv/sandboxjsをバージョン0.8.27にアップデートしてください。アップデートできない場合は、SandboxJSの使用を一時的に停止するか、サンドボックス内で実行されるコードを厳密に制限することを検討してください。

CVE-2026-25142は積極的に悪用されていますか？

公開されているPoCが存在するため、悪用される可能性が高いと考えられます。

@nyariv/sandboxjsのCVE-2026-25142に関する公式アドバイザリはどこで入手できますか？

公式アドバイザリは、GitHubリポジトリのissueトラッカーで確認できます: https://github.com/nyariv/SandboxJS/issues

SandboxJS プロトタイプ汚染の脆弱性 -> サンドボックスからの脱出 -> RCE

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2026-25142 — RCE in @nyariv/sandboxjsとは何ですか？

CVE-2026-25142 in @nyariv/sandboxjsの影響はありますか？

CVE-2026-25142 in @nyariv/sandboxjsを修正するにはどうすればよいですか？

CVE-2026-25142は積極的に悪用されていますか？

@nyariv/sandboxjsのCVE-2026-25142に関する公式アドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?