CRITICALCVE-2026-25587CVSS 10

@nyariv/sandboxjs にはサンドボックスエスケープの脆弱性があります

Q: CVE-2026-25587 — サンドボックスエスケープ in @nyariv/sandboxjsとは何ですか？

CVE-2026-25587は、@nyariv/sandboxjsのSAFE_PROTOYPESにおけるMapプロトタイプのオーバーライド脆弱性であり、サンドボックスからの脱出を許容する可能性があります。

Q: CVE-2026-25587 in @nyariv/sandboxjsの影響を受けていますか？

もし、@nyariv/sandboxjsのバージョンが0.8.29より前である場合、影響を受けています。バージョンを確認し、速やかにアップデートしてください。

Q: CVE-2026-25587 in @nyariv/sandboxjsを修正するにはどうすればよいですか？

@nyariv/sandboxjsをバージョン0.8.29以降にアップデートしてください。アップデートが困難な場合は、入力検証を厳密化するなどの回避策を検討してください。

Q: CVE-2026-25587は積極的に悪用されていますか？

現時点では公開PoCは確認されていませんが、類似の脆弱性の存在から、悪用される可能性はあります。

Q: CVE-2026-25587に関する@nyariv/sandboxjsの公式アドバイザリはどこで入手できますか？

@nyariv/sandboxjsの公式アドバイザリは、通常、GitHubリポジトリまたはnpmのパッケージページで確認できます。

プラットフォーム

nodejs

コンポーネント

@nyariv/sandboxjs

修正版

0.8.30

0.8.29

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-25587は、Node.jsパッケージ@nyariv/sandboxjsのSAFE_PROTOYPESにおける脆弱性です。この脆弱性は、Mapプロトタイプのhasメソッドをオーバーライドすることでサンドボックスを脱出することを可能にします。影響を受けるバージョンは0.8.29より前であり、0.8.29へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はサンドボックス環境を突破し、ホストシステム上で任意のコードを実行する可能性があります。これは、サンドボックス内で実行されるべき信頼できないコードが、ホストシステムの機密情報にアクセスしたり、システムを制御したりするリスクを高めます。この脆弱性は、CVE-2026-25142と類似した攻撃パターンを持ち、JavaScriptコードの実行制御を完全に奪われる可能性があります。攻撃者は、サンドボックス内で実行されるコードを改ざんし、ホストシステムに悪意のある操作を実行する可能性があります。

悪用の状況

この脆弱性は、2026年2月5日に公開されました。現時点では、公開されているPoCは確認されていませんが、類似の脆弱性（CVE-2026-25142）の存在から、攻撃者による悪用が懸念されます。CISA KEVリストへの登録状況は不明です。この脆弱性の深刻度は非常に高く、早急な対応が必要です。

リスク対象者翻訳中…

Applications utilizing @nyariv/sandboxjs to isolate untrusted code are at significant risk. This includes web applications, desktop applications, and any environment where JavaScript code is executed within a sandboxed environment. Projects relying on older versions of the library, particularly those with limited security monitoring, are especially vulnerable.

検出手順翻訳中…

• nodejs / supply-chain:

  npm list @nyariv/sandboxjs

• nodejs / supply-chain:

  npm audit @nyariv/sandboxjs

• generic web: Inspect application code for usage of @nyariv/sandboxjs and any user-controlled data being used to modify Map objects.

攻撃タイムライン

2026-02-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネント@nyariv/sandboxjs

ベンダーosv

影響範囲修正版

< 0.8.29 – < 0.8.290.8.30

—0.8.29

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2026-02-03
公開日2026-02-05
更新日2026-02-06
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への主な対策は、@nyariv/sandboxjsをバージョン0.8.29以降にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、サンドボックス内で実行されるコードの入力を厳密に検証し、信頼できないコードの実行を制限してください。また、WAFやプロキシサーバーを使用して、悪意のあるリクエストをブロックすることも有効です。アップデート後、サンドボックスの動作をテストし、正常に動作することを確認してください。

修正方法

SandboxJS ライブラリをバージョン 0.8.29 以降にアップデートしてください。このバージョンは、Map のプロトタイプの操作を防ぐことで、サンドボックスエスケープの脆弱性を修正しています。アップデートするには、対応するパッケージマネージャー (npm または yarn など) を使用して、最新バージョンをインストールしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-25587 — サンドボックスエスケープ in @nyariv/sandboxjsとは何ですか？