Plataforma
nodejs
Componente
@nyariv/sandboxjs
Corrigido em
0.8.35
0.8.34
A vulnerabilidade CVE-2026-26954 afeta a biblioteca @nyariv/sandboxjs, permitindo a fuga do ambiente sandbox. Através da manipulação de objetos e da construção de propriedades, um atacante pode executar código arbitrário fora das restrições do sandbox. A vulnerabilidade foi publicada em 13 de março de 2026 e a versão corrigida é 0.8.34.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante escape do ambiente sandbox, obtendo acesso irrestrito ao sistema host. Isso pode levar à execução de código malicioso, roubo de dados confidenciais, instalação de malware e comprometimento completo do sistema. A capacidade de escapar do sandbox anula as proteções de segurança que a biblioteca deveria fornecer, tornando-a uma ameaça significativa para aplicações que dependem dela para isolar código não confiável. A ausência de um sandbox eficaz pode levar a ataques de injeção de código e outras formas de exploração.
A vulnerabilidade foi divulgada publicamente em 13 de março de 2026. Não há informações disponíveis sobre a adição a KEV ou a existência de campanhas de exploração ativas no momento da publicação. Um Proof of Concept (PoC) foi fornecido na descrição da vulnerabilidade, demonstrando a possibilidade de escapar do sandbox.
Applications utilizing @nyariv/sandboxjs to isolate untrusted code or user input are at significant risk. This includes web applications, desktop applications, and any environment where sandboxing is employed to enhance security. Projects relying on older versions of the library, particularly those with limited security monitoring, are especially vulnerable.
• nodejs / sandbox:
npm list @nyariv/sandboxjs• nodejs / sandbox: Check package.json for versions below 0.8.34. • nodejs / sandbox: Review application code for usage of @nyariv/sandboxjs and potential injection points.
disclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-26954 é atualizar a biblioteca @nyariv/sandboxjs para a versão 0.8.34 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir as permissões do sandbox e monitorar o comportamento da aplicação em busca de atividades suspeitas. A análise do código-fonte da aplicação pode ajudar a identificar e bloquear tentativas de manipulação de objetos que possam levar à fuga do sandbox. Após a atualização, verifique a integridade da instalação da biblioteca para garantir que a versão corrigida foi aplicada corretamente.
Atualize a biblioteca SandboxJS para a versão 0.8.34 ou superior. Isso resolverá a vulnerabilidade de escape de sandbox. Execute `npm update sandboxjs` ou `yarn upgrade sandboxjs` para atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-26954 is a critical vulnerability in @nyariv/sandboxjs allowing attackers to bypass sandbox restrictions through Function object manipulation, potentially leading to code execution.
You are affected if you are using @nyariv/sandboxjs versions 0.8.33 or earlier. Upgrade to 0.8.34 to resolve the issue.
Upgrade to @nyariv/sandboxjs version 0.8.34 or later. If immediate upgrade is not possible, implement stricter input validation.
While active exploitation is not confirmed, a public PoC exists, suggesting a potential for exploitation.
Refer to the @nyariv/sandboxjs project's repository and release notes for the official advisory and details on the fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.