平台
nodejs
组件
@nyariv/sandboxjs
修复版本
0.8.28
0.8.27
CVE-2026-25142 是 @nyariv/sandboxjs 库中的远程代码执行 (RCE) 漏洞。由于 lookupGetter 未能得到适当限制,攻击者可以获取原型,从而逃逸沙箱并执行恶意代码。此漏洞影响 Node.js 环境下的 @nyariv/sandboxjs 0.8.26 及更早版本,建议尽快升级至 0.8.27 版本以缓解风险。
此 RCE 漏洞允许攻击者完全控制受影响的系统。攻击者可以利用此漏洞执行任意代码,窃取敏感数据,安装恶意软件,甚至控制整个服务器。由于 @nyariv/sandboxjs 通常用于隔离和限制 JavaScript 代码的执行,因此此漏洞的潜在影响非常严重。攻击者可以通过构造恶意的 JavaScript 代码来触发此漏洞,从而绕过沙箱的安全机制。如果攻击者能够成功逃逸沙箱,他们将拥有与未沙箱化代码相同的权限。
目前尚未公开报告此漏洞被积极利用,但已发布了概念验证 (PoC) 代码,表明该漏洞可被利用。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的风险。建议密切关注安全社区的动态,并及时采取缓解措施。
Applications utilizing @nyariv/sandboxjs for sandboxing or isolating untrusted code are at significant risk. This includes web applications, desktop applications, and any environment where user-provided code is executed within a controlled environment. Developers relying on SandboxJS for security should prioritize upgrading to the patched version.
• nodejs / supply-chain:
npm list @nyariv/sandboxjs• nodejs / supply-chain:
npm audit @nyariv/sandboxjs• nodejs / supply-chain:
grep -r "__lookupGetter__" node_modules/@nyariv/sandboxjs/disclosure
poc
patch
漏洞利用状态
EPSS
0.21% (43% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 @nyariv/sandboxjs 的 0.8.27 版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:限制沙箱中允许访问的 API,审查沙箱中执行的代码,并监控系统是否存在异常活动。由于此漏洞涉及原型链的绕过,因此使用更严格的沙箱策略或考虑使用其他沙箱解决方案可能有助于降低风险。升级后,请验证沙箱是否按预期工作,并检查是否存在任何异常行为。
将 SandboxJS 库更新到 0.8.27 或更高版本。此版本修复了允许远程代码执行的 prototype pollution 漏洞。要更新,请使用 npm 包管理器:`npm install sandboxjs@latest`。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-25142 是 @nyariv/sandboxjs 库中的远程代码执行漏洞,允许攻击者逃逸沙箱并执行任意代码。
如果您正在使用 @nyariv/sandboxjs 0.8.26 或更早版本,则可能受到此漏洞的影响。
建议升级到 @nyariv/sandboxjs 的 0.8.27 版本以修复此漏洞。
目前尚未公开报告此漏洞被积极利用,但已发布 PoC 代码。
请访问 @nyariv/sandboxjs 的 GitHub 仓库获取更多信息:https://github.com/nyariv/SandboxJS
CVSS 向量