Plataforma
nodejs
Componente
@nyariv/sandboxjs
Corrigido em
0.8.30
0.8.29
A vulnerabilidade CVE-2026-25587 é uma falha de escape de sandbox em @nyariv/sandboxjs, que permite a um atacante contornar as restrições impostas pelo sandbox JavaScript. Essa falha ocorre devido a uma manipulação do protótipo do objeto Map, possibilitando a execução de código arbitrário. Versões anteriores a 0.8.29 são afetadas e a correção foi disponibilizada nesta versão.
Um atacante pode explorar esta vulnerabilidade para escapar do ambiente sandbox e executar código malicioso no sistema host. Isso pode levar à roubo de dados confidenciais, instalação de malware ou comprometimento completo do sistema. A falha se assemelha a CVE-2026-25142, mas explora uma peculiaridade na implementação do let que permite a obtenção do protótipo do Map. A exploração bem-sucedida pode resultar em acesso não autorizado a recursos do sistema e execução de comandos com privilégios elevados, dependendo das permissões concedidas ao sandbox.
A vulnerabilidade foi divulgada em 2026-02-05. Não há informações disponíveis sobre exploração ativa em campanhas. Um Proof of Concept (PoC) foi publicado, indicando a viabilidade da exploração. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação, mas a alta pontuação CVSS (10) indica um risco significativo.
Applications utilizing @nyariv/sandboxjs to isolate untrusted code are at significant risk. This includes web applications, desktop applications, and any environment where JavaScript code is executed within a sandboxed environment. Projects relying on older versions of the library, particularly those with limited security monitoring, are especially vulnerable.
• nodejs / supply-chain:
npm list @nyariv/sandboxjs• nodejs / supply-chain:
npm audit @nyariv/sandboxjs• generic web: Inspect application code for usage of @nyariv/sandboxjs and any user-controlled data being used to modify Map objects.
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão 0.8.29 ou superior de @nyariv/sandboxjs. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como restringir severamente as permissões concedidas ao sandbox e monitorar o comportamento do sandbox em busca de atividades suspeitas. Implementar regras de firewall ou proxy para bloquear o acesso não autorizado a endpoints sensíveis pode ajudar a reduzir a superfície de ataque. Após a atualização, confirme a correção executando testes de segurança para garantir que o sandbox esteja funcionando conforme o esperado.
Atualize a biblioteca SandboxJS para a versão 0.8.29 ou superior. Esta versão corrige a vulnerabilidade de escape de sandbox ao evitar a manipulação do protótipo de Map. Para atualizar, use o gerenciador de pacotes correspondente (por exemplo, npm ou yarn) e instale a versão mais recente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-25587 is a critical prototype pollution vulnerability in @nyariv/sandboxjs that allows attackers to escape the sandbox by manipulating Map.prototype.has, potentially leading to code execution.
You are affected if you are using @nyariv/sandboxjs versions prior to 0.8.29. Assess your project dependencies immediately.
Upgrade to version 0.8.29 or later of @nyariv/sandboxjs. If immediate upgrade is not possible, implement temporary workarounds like input validation.
While no active exploitation campaigns have been confirmed, the critical severity and availability of a PoC suggest a high probability of exploitation.
Refer to the @nyariv/sandboxjs project repository and related security advisories for the latest information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.