Platform
nodejs
Component
@nyariv/sandboxjs
Opgelost in
0.8.30
0.8.29
CVE-2026-25587 is een kritieke kwetsbaarheid in de @nyariv/sandboxjs bibliotheek voor Node.js. Deze kwetsbaarheid maakt sandbox-escapes mogelijk, waardoor een aanvaller de beveiligingssandbox kan omzeilen en ongeautoriseerde acties kan uitvoeren. De kwetsbaarheid treedt op door het overschrijven van Map.prototype.has binnen de sandbox. De kwetsbaarheid beïnvloedt versies van @nyariv/sandboxjs die lager zijn dan 0.8.29, en een upgrade naar deze versie is vereist om de kwetsbaarheid te verhelpen.
Deze kwetsbaarheid stelt een aanvaller in staat om de sandbox te ontsnappen en code uit te voeren met de privileges van de sandbox-omgeving. Dit kan leiden tot het compromitteren van gevoelige gegevens, het manipuleren van de applicatie of het verkrijgen van controle over het systeem. De kwetsbaarheid is vergelijkbaar met CVE-2026-25142, maar maakt gebruik van een bug in de let implementatie. Door Map.prototype.has te overschrijven, kan een aanvaller de sandbox omzeilen en willekeurige code uitvoeren, wat een aanzienlijke impact kan hebben op de beveiliging van de applicatie.
Deze kwetsbaarheid is openbaar bekend en er is een proof-of-concept beschikbaar. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). Er zijn geen meldingen van actieve exploitatie in de wildernis op dit moment, maar de beschikbaarheid van een proof-of-concept maakt exploitatie waarschijnlijk.
Applications utilizing @nyariv/sandboxjs to isolate untrusted code are at significant risk. This includes web applications, desktop applications, and any environment where JavaScript code is executed within a sandboxed environment. Projects relying on older versions of the library, particularly those with limited security monitoring, are especially vulnerable.
• nodejs / supply-chain:
npm list @nyariv/sandboxjs• nodejs / supply-chain:
npm audit @nyariv/sandboxjs• generic web: Inspect application code for usage of @nyariv/sandboxjs and any user-controlled data being used to modify Map objects.
disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-25587 is het upgraden van @nyariv/sandboxjs naar versie 0.8.29 of hoger. Als een upgrade momenteel niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om pogingen tot sandbox-escapes te detecteren en te blokkeren. Controleer de configuratie van de sandbox om er zeker van te zijn dat prototype overschrijvingen worden voorkomen. Er zijn geen specifieke Sigma- of YARA-patronen bekend, maar het monitoren van wijzigingen in Map.prototype kan helpen bij de detectie.
Actualice la biblioteca SandboxJS a la versión 0.8.29 o superior. Esta versión corrige la vulnerabilidad de escape de sandbox al evitar la manipulación del prototipo de Map. Para actualizar, use el administrador de paquetes correspondiente (por ejemplo, npm o yarn) e instale la versión más reciente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-25587 is a critical prototype pollution vulnerability in @nyariv/sandboxjs that allows attackers to escape the sandbox by manipulating Map.prototype.has, potentially leading to code execution.
You are affected if you are using @nyariv/sandboxjs versions prior to 0.8.29. Assess your project dependencies immediately.
Upgrade to version 0.8.29 or later of @nyariv/sandboxjs. If immediate upgrade is not possible, implement temporary workarounds like input validation.
While no active exploitation campaigns have been confirmed, the critical severity and availability of a PoC suggest a high probability of exploitation.
Refer to the @nyariv/sandboxjs project repository and related security advisories for the latest information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.