Platform
nodejs
Component
@nyariv/sandboxjs
Opgelost in
0.8.28
0.8.27
CVE-2026-25142 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in de Node.js bibliotheek @nyariv/sandboxjs. Deze kwetsbaarheid ontstaat doordat lookupGetter niet correct wordt beperkt, waardoor prototypes kunnen worden verkregen en de sandbox kan worden omzeild. Versies van @nyariv/sandboxjs vóór 0.8.27 zijn kwetsbaar. Een patch is beschikbaar in versie 0.8.27.
Deze kwetsbaarheid stelt een aanvaller in staat om de sandbox te omzeilen en willekeurige code uit te voeren op het systeem waar @nyariv/sandboxjs wordt gebruikt. Dit kan leiden tot volledige controle over het systeem, inclusief data-exfiltratie, installatie van malware en verdere aanval op andere systemen binnen het netwerk. De kwetsbaarheid is kritiek vanwege de mogelijkheid om de beveiliging van de sandbox volledig te omzeilen, wat de integriteit en vertrouwelijkheid van de applicatie in gevaar brengt. Het misbruik van deze kwetsbaarheid kan vergelijkbare gevolgen hebben als andere RCE-kwetsbaarheden, waarbij de aanvaller de volledige controle over het systeem verkrijgt.
Deze kwetsbaarheid is openbaar bekend en er is een proof-of-concept (PoC) beschikbaar. De kwetsbaarheid is gepubliceerd op 2 februari 2026. Er is geen informatie beschikbaar over actieve exploitatiecampagnes, maar de kritieke ernst en de beschikbaarheid van een PoC maken het waarschijnlijk dat deze kwetsbaarheid in de toekomst zal worden misbruikt. De KEV-status is momenteel onbekend.
Applications utilizing @nyariv/sandboxjs for sandboxing or isolating untrusted code are at significant risk. This includes web applications, desktop applications, and any environment where user-provided code is executed within a controlled environment. Developers relying on SandboxJS for security should prioritize upgrading to the patched version.
• nodejs / supply-chain:
npm list @nyariv/sandboxjs• nodejs / supply-chain:
npm audit @nyariv/sandboxjs• nodejs / supply-chain:
grep -r "__lookupGetter__" node_modules/@nyariv/sandboxjs/disclosure
poc
patch
Exploit Status
EPSS
0.21% (43% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 0.8.27 of hoger van @nyariv/sandboxjs. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de sandbox omgeving of het implementeren van strikte input validatie. Controleer de afhankelijkheden van uw project om te verzekeren dat @nyariv/sandboxjs niet via een kwetsbare indirecte afhankelijkheid wordt geïntroduceerd. Na de upgrade, verifieer de correcte werking van de sandbox door gecontroleerde tests uit te voeren om te bevestigen dat de kwetsbaarheid is verholpen.
Werk de SandboxJS bibliotheek bij naar versie 0.8.27 of hoger. Deze versie corrigeert de prototype pollution kwetsbaarheid die remote code execution mogelijk maakt. Om bij te werken, gebruik de npm package manager: `npm install sandboxjs@latest`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-25142 is a critical Remote Code Execution vulnerability in the @nyariv/sandboxjs library, allowing attackers to escape the sandbox and execute arbitrary code.
You are affected if your application uses @nyariv/sandboxjs versions prior to 0.8.27. Check your project dependencies immediately.
Upgrade to version 0.8.27 or later of @nyariv/sandboxjs. If immediate upgrade is not possible, implement runtime checks to restrict prototype access.
While no active campaigns have been confirmed, a public proof-of-concept exists, increasing the risk of exploitation.
Refer to the @nyariv/sandboxjs GitHub repository for updates and advisories related to CVE-2026-25142.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.