Plataforma
nodejs
Componente
@nyariv/sandboxjs
Corrigido em
0.8.37
0.8.36
CVE-2026-34208 é uma vulnerabilidade de segurança que permite o bypass da proteção contra atribuições diretas a objetos globais na biblioteca @nyariv/sandboxjs. Um atacante pode explorar essa falha para escrever propriedades arbitrárias em objetos globais do host, persistindo essas mutações entre instâncias do sandbox. A vulnerabilidade afeta versões ≤0.8.36. No momento, não há patch oficial disponível para corrigir essa vulnerabilidade.
A CVE-2026-34208 afeta o SandboxJS, permitindo que atacantes contornem as proteções de segurança projetadas para evitar modificações diretas em objetos globais. A vulnerabilidade reside em um caminho de construtor exposto que permite que o código malicioso escreva propriedades arbitrárias nos objetos globais do host. Isso é particularmente grave porque essas modificações podem persistir entre diferentes instâncias de sandbox que operam dentro do mesmo processo, comprometendo a integridade da aplicação. Uma pontuação CVSS de 10.0 indica uma vulnerabilidade crítica com um impacto potencialmente devastador, especialmente em ambientes onde o SandboxJS é usado para isolar código não confiável.
Um atacante pode explorar esta vulnerabilidade injetando código malicioso dentro do sandbox que utiliza o SandboxJS. Este código aproveitará o caminho this.constructor.call(target, attackerObject) para modificar os objetos globais do host. A persistência dessas modificações entre as instâncias de sandbox no mesmo processo significa que um único ataque bem-sucedido pode comprometer várias áreas da aplicação. A facilidade de exploração, combinada com o alto impacto potencial, torna esta vulnerabilidade um risco significativo para as aplicações que dependem do SandboxJS para o isolamento de código.
Applications utilizing @nyariv/sandboxjs for sandboxing JavaScript code are at risk, particularly those deployed in Node.js environments. This includes applications that dynamically execute user-provided code or interact with untrusted data sources. Shared hosting environments where multiple applications share the same Node.js process are especially vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @nyariv/sandboxjs• nodejs / server:
grep -r 'this.constructor.call(target, attackerObject)' ./node_modules/@nyariv/sandboxjs/• nodejs / server:
npm audit @nyariv/sandboxjsdisclosure
Status do Exploit
EPSS
0.18% (percentil 40%)
CISA SSVC
Vetor CVSS
A mitigação principal para a CVE-2026-34208 é atualizar o SandboxJS para a versão 0.8.36 ou posterior. Esta versão inclui uma correção que bloqueia o caminho do construtor vulnerável. Enquanto isso, como medida temporária, recomenda-se restringir o acesso a Function.prototype.call dentro do sandbox, embora isso possa afetar a funcionalidade de algumas aplicações. Recomenda-se realizar uma auditoria de código para identificar qualquer uso potencial da vulnerabilidade e aplicar patches adicionais, se necessário. Monitorar os logs da aplicação em busca de atividade suspeita também pode ajudar a detectar e responder a possíveis ataques.
Actualice SandboxJS a la versión 0.8.36 o superior para mitigar la vulnerabilidad de escape de integridad de la sandbox. Esta actualización corrige el problema permitiendo que las asignaciones directas a objetos globales estén bloqueadas correctamente, evitando que el código malicioso escriba propiedades arbitrarias en los objetos globales del host.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
SandboxJS é uma biblioteca JavaScript que fornece um ambiente isolado (sandbox) para executar código não confiável, limitando seu acesso a objetos globais e funções do host.
A versão 0.8.36 corrige a vulnerabilidade CVE-2026-34208, que permite que os atacantes contornem as proteções de segurança do SandboxJS.
Uma pontuação CVSS de 10.0 indica uma vulnerabilidade crítica com o nível de gravidade máximo.
Como medida temporária, você pode restringir o acesso a Function.prototype.call dentro do sandbox, embora isso possa afetar a funcionalidade.
Você pode encontrar mais informações sobre SandboxJS em seu repositório GitHub e em sua documentação oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.