Platform
nodejs
Component
@nyariv/sandboxjs
Opgelost in
0.8.37
0.8.36
CVE-2026-34208 is een kwetsbaarheid in @nyariv/sandboxjs die het mogelijk maakt om de beveiliging tegen directe toewijzing aan globale objecten te omzeilen. Dit kan leiden tot het overschrijven van globale objecten en persistente mutaties in sandbox-instanties. De kwetsbaarheid treft versies vóór 0.8.36. Een fix is beschikbaar in versie 0.8.36.
CVE-2026-34208 heeft invloed op SandboxJS en stelt aanvallers in staat om beveiligingsmaatregelen te omzeilen die bedoeld zijn om directe wijzigingen aan globale objecten te voorkomen. De kwetsbaarheid ligt in een blootgelegd constructeurpad dat kwaadaardige code in staat stelt om willekeurige eigenschappen naar de globale objecten van de host te schrijven. Dit is bijzonder ernstig omdat deze wijzigingen kunnen aanhouden tussen verschillende sandbox-instanties die binnen hetzelfde proces draaien, waardoor de integriteit van de applicatie in gevaar komt. Een CVSS-score van 10.0 duidt op een kritieke kwetsbaarheid met een potentieel verwoestend effect, vooral in omgevingen waar SandboxJS wordt gebruikt om niet-vertrouwbaar code te isoleren.
Een aanvaller kan deze kwetsbaarheid uitbuiten door kwaadaardige code binnen de sandbox te injecteren die SandboxJS gebruikt. Deze code gebruikt het pad this.constructor.call(target, attackerObject) om de globale objecten van de host te wijzigen. De persistentie van deze wijzigingen tussen sandbox-instanties binnen hetzelfde proces betekent dat een enkele succesvolle aanval meerdere gebieden van de applicatie kan compromitteren. De eenvoud van exploitatie, in combinatie met het hoge potentiële effect, maakt deze kwetsbaarheid tot een aanzienlijk risico voor applicaties die afhankelijk zijn van SandboxJS voor code-isolatie.
Applications utilizing @nyariv/sandboxjs for sandboxing JavaScript code are at risk, particularly those deployed in Node.js environments. This includes applications that dynamically execute user-provided code or interact with untrusted data sources. Shared hosting environments where multiple applications share the same Node.js process are especially vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @nyariv/sandboxjs• nodejs / server:
grep -r 'this.constructor.call(target, attackerObject)' ./node_modules/@nyariv/sandboxjs/• nodejs / server:
npm audit @nyariv/sandboxjsdisclosure
Exploit Status
EPSS
0.18% (40% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-34208 is het updaten van SandboxJS naar versie 0.8.36 of hoger. Deze versie bevat een fix die het kwetsbare constructeurpad blokkeert. In de tussentijd wordt als tijdelijke maatregel aanbevolen om de toegang tot Function.prototype.call binnen de sandbox te beperken, hoewel dit de functionaliteit van sommige applicaties kan beïnvloeden. Er moet een code-audit worden uitgevoerd om eventueel gebruik van de kwetsbaarheid te identificeren en indien nodig aanvullende patches toe te passen. Het monitoren van applicatielogboeken op verdachte activiteiten kan ook helpen om potentiële aanvallen te detecteren en erop te reageren.
Actualice SandboxJS a la versión 0.8.36 o superior para mitigar la vulnerabilidad de escape de integridad de la sandbox. Esta actualización corrige el problema permitiendo que las asignaciones directas a objetos globales estén bloqueadas correctamente, evitando que el código malicioso escriba propiedades arbitrarias en los objetos globales del host.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SandboxJS is een JavaScript-bibliotheek die een geïsoleerde omgeving (sandbox) biedt voor het uitvoeren van niet-vertrouwbaar code, waardoor de toegang tot globale objecten en functies van de host wordt beperkt.
Versie 0.8.36 corrigeert de CVE-2026-34208-kwetsbaarheid, waardoor aanvallers de beveiligingsmaatregelen van SandboxJS kunnen omzeilen.
Een CVSS-score van 10.0 duidt op een kritieke kwetsbaarheid met het hoogste ernstniveau.
Als tijdelijke maatregel kunt u de toegang tot Function.prototype.call binnen de sandbox beperken, hoewel dit de functionaliteit kan beïnvloeden.
U kunt meer informatie over SandboxJS vinden in hun GitHub-repository en hun officiële documentatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.