CVE-2026-5752 beschrijft een sandbox escape kwetsbaarheid in de cohere-terrarium bibliotheek, versie 1.0.0 tot en met 1.0.1. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren met root privileges op het hostproces. Het probleem is veroorzaakt door een prototype chain traversal kwetsbaarheid in JavaScript. Een patch is beschikbaar in versie 1.0.2.
Deze sandbox escape kwetsbaarheid is kritiek omdat een succesvolle exploitatie resulteert in de mogelijkheid om willekeurige code met root privileges uit te voeren. Dit betekent dat een aanvaller volledige controle kan krijgen over het systeem waarop cohere-terrarium draait. De impact is aanzienlijk, aangezien de aanvaller toegang kan krijgen tot gevoelige gegevens, systemen kan compromitteren en mogelijk lateraal kan bewegen naar andere systemen binnen het netwerk. De kwetsbaarheid kan worden misbruikt door het manipuleren van JavaScript code binnen de sandbox, waardoor de aanvaller de sandbox kan verlaten en toegang krijgt tot de onderliggende hostomgeving. Dit is vergelijkbaar met eerdere sandbox escape kwetsbaarheden waarbij prototype chain traversal werd gebruikt om beveiligingsbeperkingen te omzeilen.
De kwetsbaarheid is openbaar bekend gemaakt op 2026-04-14. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend. De ernst van de kwetsbaarheid wordt momenteel geëvalueerd door de beveiligingsgemeenschap.
Organizations utilizing cohere-terrarium for sandboxing or code execution are at risk, particularly those relying on versions 1.0.0 through 1.0.1. Environments where Terrarium is used to execute untrusted code or process user-supplied data are especially vulnerable. Development teams using Terrarium for testing or experimentation should also prioritize patching.
• javascript / sandbox:
// Monitor for prototype chain modifications within the Terrarium sandbox.
// This is a simplified example and requires adaptation to the specific Terrarium implementation.
Object.prototype.__proto__ = { malicious: 'code' };• javascript / sandbox: Inspect JavaScript code for prototype manipulation attempts. • javascript / sandbox: Review Terrarium configuration for overly permissive sandbox settings.
disclosure
Exploit Status
EPSS
0.03% (8% percentiel)
De primaire mitigatie voor CVE-2026-5752 is het upgraden naar versie 1.0.2 van cohere-terrarium. Deze versie bevat een patch die de prototype chain traversal kwetsbaarheid verhelpt. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van extra beveiligingsmaatregelen, zoals het beperken van de privileges van de gebruiker die de cohere-terrarium applicatie uitvoert. Het is ook raadzaam om de code die binnen de sandbox wordt uitgevoerd zorgvuldig te controleren op verdachte patronen. Na de upgrade, controleer de functionaliteit van de applicatie om er zeker van te zijn dat de upgrade geen onverwachte problemen veroorzaakt. Controleer de logbestanden op ongebruikelijke activiteiten.
Werk bij naar versie 1.0.2 of hoger om de sandbox escape-kwetsbaarheid te mitigeren. Deze update pakt de mogelijkheid van willekeurige code-uitvoering met root-rechten aan via manipulatie van de JavaScript prototype chain.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-5752 is a sandbox escape vulnerability in cohere-terrarium versions 1.0.0–1.0.1, allowing attackers to execute arbitrary code with root privileges through JavaScript prototype chain traversal.
You are affected if you are using cohere-terrarium versions 1.0.0 through 1.0.1. Upgrade to version 1.0.2 or later to mitigate the risk.
Upgrade cohere-terrarium to version 1.0.2 or later. If immediate upgrade is not possible, implement stricter input validation and monitor sandbox execution.
While no active exploitation has been confirmed, the vulnerability's severity and potential for easy exploitation make it a likely target.
Refer to the official cohere-terrarium project website or security mailing list for the advisory related to CVE-2026-5752.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.