プラットフォーム
nodejs
コンポーネント
@nyariv/sandboxjs
修正版
0.8.37
0.8.36
SandboxJS は JavaScript のサンドボックスライブラリですが、バージョン 0.8.36 以前には、グローバルオブジェクトへの直接的な代入をブロックする保護機能に脆弱性がありました。この脆弱性を悪用されると、攻撃者は this.constructor.call() を通じてホストのグローバルオブジェクトに任意のプロパティを書き込むことができ、その変更は同一プロセス内の複数のサンドボックスインスタンス間で永続化される可能性があります。この問題は SandboxJS 0.8.36 で修正されています。
CVE-2026-34208 は SandboxJS に影響を与え、攻撃者がグローバルオブジェクトへの直接的な変更を防止するように設計されたセキュリティ保護を回避することを可能にします。この脆弱性は、ホストのグローバルオブジェクトに任意のプロパティを書き込むことができる、露出したコンストラクタパスにあります。これは、同じプロセス内で動作するさまざまなサンドボックスインスタンス間でこれらの変更が持続するため、特に深刻です。これにより、アプリケーションの整合性が損なわれる可能性があります。CVSS スコアが 10.0 であることは、信頼できないコードを分離するために SandboxJS が使用される環境では、潜在的に壊滅的な影響を与える可能性のある、重大な脆弱性を示しています。
攻撃者は、SandboxJS を使用するサンドボックス内に悪意のあるコードを注入することにより、この脆弱性を悪用できます。このコードは、this.constructor.call(target, attackerObject) パスを利用して、ホストのグローバルオブジェクトを変更します。同じプロセス内のサンドボックスインスタンス間でこれらの変更が持続するため、単一の成功した攻撃はアプリケーションの複数の領域を侵害する可能性があります。悪用しやすさと高い潜在的な影響を組み合わせることで、この脆弱性は、コード分離のために SandboxJS に依存するアプリケーションにとって重大なリスクとなります。
Applications utilizing @nyariv/sandboxjs for sandboxing JavaScript code are at risk, particularly those deployed in Node.js environments. This includes applications that dynamically execute user-provided code or interact with untrusted data sources. Shared hosting environments where multiple applications share the same Node.js process are especially vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @nyariv/sandboxjs• nodejs / server:
grep -r 'this.constructor.call(target, attackerObject)' ./node_modules/@nyariv/sandboxjs/• nodejs / server:
npm audit @nyariv/sandboxjsdisclosure
エクスプロイト状況
EPSS
0.18% (40% パーセンタイル)
CISA SSVC
CVE-2026-34208 の主な軽減策は、SandboxJS をバージョン 0.8.36 以降に更新することです。このバージョンには、脆弱なコンストラクタパスをブロックする修正が含まれています。その間、一時的な措置として、サンドボックス内の Function.prototype.call へのアクセスを制限することをお勧めします。ただし、これにより、一部のアプリケーションの機能に影響を与える可能性があります。コード監査を実行して、脆弱性の潜在的な使用状況を特定し、必要に応じて追加のパッチを適用する必要があります。アプリケーションログを疑わしいアクティビティについて監視することも、潜在的な攻撃を検出し、対応するのに役立ちます。
Actualice SandboxJS a la versión 0.8.36 o superior para mitigar la vulnerabilidad de escape de integridad de la sandbox. Esta actualización corrige el problema permitiendo que las asignaciones directas a objetos globales estén bloqueadas correctamente, evitando que el código malicioso escriba propiedades arbitrarias en los objetos globales del host.
脆弱性分析と重要アラートをメールでお届けします。
SandboxJS は、ホストのグローバルオブジェクトと関数へのアクセスを制限することにより、信頼できないコードを実行するための隔離された環境 (サンドボックス) を提供する JavaScript ライブラリです。
バージョン 0.8.36 は、攻撃者が SandboxJS のセキュリティ保護を回避できる CVE-2026-34208 脆弱性を修正します。
CVSS スコア 10.0 は、最も高い深刻度レベルを持つ重大な脆弱性を示します。
一時的な措置として、サンドボックス内の Function.prototype.call へのアクセスを制限できます。ただし、これにより、一部のアプリケーションの機能に影響を与える可能性があります。
SandboxJS についてさらに詳しい情報は、GitHub リポジトリと公式ドキュメントで確認できます。
CVSS ベクトル