CRITICALCVE-2026-26954CVSS 10

SandboxJS が Sandbox Escape に影響

Q: CVE-2026-26954 — サンドボックス脱出 in @nyariv/sandboxjsとは何ですか？

CVE-2026-26954は、@nyariv/sandboxjsのサンドボックスを脱出できる脆弱性です。`Function`を含む配列を取得することで、任意のコードを実行できる可能性があります。

Q: CVE-2026-26954 in @nyariv/sandboxjsに影響を受けますか？

0.8.33以前の@nyariv/sandboxjsを使用している場合は、影響を受けます。バージョンを確認し、0.8.34にアップデートしてください。

Q: CVE-2026-26954 in @nyariv/sandboxjsを修正するにはどうすればよいですか？

@nyariv/sandboxjsをバージョン0.8.34にアップデートしてください。アップデートが困難な場合は、サンドボックス内のコードを厳密に制限するなどの回避策を検討してください。

Q: CVE-2026-26954は積極的に悪用されていますか？

現時点では公的なエクスプロイトコードは確認されていませんが、脆弱性の内容から、今後の攻撃キャンペーンに利用されるリスクがあります。

Q: CVE-2026-26954に関する@nyariv/sandboxjsの公式アドバイザリはどこで入手できますか？

@nyariv/sandboxjsの公式アドバイザリは、https://github.com/nyariv/sandboxjs/security/advisories/GHSA-xxxx-xxxx-xxxx を参照してください。（仮のURLです。実際のURLは公式情報をご確認ください。）

プラットフォーム

nodejs

コンポーネント

@nyariv/sandboxjs

修正版

0.8.35

0.8.34

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

@nyariv/sandboxjsのCVE-2026-26954は、サンドボックスを脱出できる重大な脆弱性です。Functionを含む配列を取得することで、Object.fromEntriesを使用して任意のコードを実行できる可能性があります。この脆弱性は、0.8.33以前のバージョンに影響を与え、2026年3月13日に公開されました。0.8.34へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はサンドボックスを完全に回避し、ホストシステム上で任意のコードを実行できるようになります。これにより、機密情報の窃取、システム改ざん、さらにはリモートからのコード実行といった深刻な被害が発生する可能性があります。特に、サンドボックス内で機密性の高い処理を実行しているアプリケーションでは、この脆弱性の影響は甚大です。サンドボックスの目的が完全に崩壊し、セキュリティ保護が無効化されるため、攻撃者はシステム全体を掌握する可能性があります。この脆弱性は、JavaScriptのオブジェクト操作に関する知識を持つ攻撃者にとって、比較的容易に悪用できる可能性があります。

悪用の状況

この脆弱性は、2026年3月13日に公開されており、現時点では公的なエクスプロイトコードは確認されていません。しかし、脆弱性の内容から、比較的容易に悪用できる可能性があり、今後の攻撃キャンペーンに利用されるリスクがあります。CISA KEVへの登録状況は不明ですが、CRITICALなCVSSスコアから、潜在的な脅威として注視する必要があります。NVDの公開日も2026年3月13日であり、初期段階の脆弱性であると考えられます。

リスク対象者翻訳中…

Applications utilizing @nyariv/sandboxjs to isolate untrusted code or user input are at significant risk. This includes web applications, desktop applications, and any environment where sandboxing is employed to enhance security. Projects relying on older versions of the library, particularly those with limited security monitoring, are especially vulnerable.

検出手順翻訳中…

• nodejs / sandbox:

  npm list @nyariv/sandboxjs

• nodejs / sandbox: Check package.json for versions below 0.8.34. • nodejs / sandbox: Review application code for usage of @nyariv/sandboxjs and potential injection points.

攻撃タイムライン

2026-03-13Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.06% (19% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネント@nyariv/sandboxjs

ベンダーosv

影響範囲修正版

< 0.8.34 – < 0.8.340.8.35

—0.8.34

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2026-02-16
公開日2026-03-13
更新日2026-03-16
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、@nyariv/sandboxjsをバージョン0.8.34にアップデートすることです。アップデートが困難な場合は、サンドボックス内で実行されるコードを厳密に制限し、信頼できないコードの実行を完全に禁止するなどの回避策を検討してください。また、WAF（Web Application Firewall）を導入し、サンドボックス脱出を試みる攻撃パターンを検知・防御することも有効です。サンドボックスの設計を見直し、Functionを含む配列が外部から渡される可能性を排除することも重要です。アップデート後、サンドボックス内のコードが期待通りに動作することを確認してください。

修正方法

SandboxJS ライブラリをバージョン 0.8.34 以降にアップデートしてください。これにより、サンドボックスエスケープの脆弱性が修正されます。`npm update sandboxjs` または `yarn upgrade sandboxjs` を実行してアップデートしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-26954 — サンドボックス脱出 in @nyariv/sandboxjsとは何ですか？

CVE-2026-26954は、@nyariv/sandboxjsのサンドボックスを脱出できる脆弱性です。Functionを含む配列を取得することで、任意のコードを実行できる可能性があります。

CVE-2026-26954 in @nyariv/sandboxjsに影響を受けますか？