平台
nodejs
组件
@nyariv/sandboxjs
修复版本
0.8.30
0.8.29
CVE-2026-25587 描述了 @nyariv/sandboxjs 库中的沙箱逃逸漏洞。该漏洞允许攻击者通过覆盖 Map 对象的原型链上的 has 方法来逃逸沙箱环境,从而执行恶意代码。受影响的版本包括 0.8.28 之前的版本,建议升级至 0.8.29 版本以解决此安全问题。
该漏洞的潜在影响非常严重。攻击者可以利用此漏洞完全控制受影响的应用程序,执行任意代码,窃取敏感数据,甚至进行横向移动攻击。由于 @nyariv/sandboxjs 库常用于隔离不受信任的代码执行,因此该漏洞可能影响广泛的应用程序。类似于其他原型链污染漏洞,攻击者可以修改沙箱环境中的对象行为,绕过安全限制,从而执行恶意操作。如果沙箱用于执行用户提供的代码,则风险尤其高。
目前,该漏洞的公开利用情况尚不明确,但由于漏洞的严重性和潜在影响,预计可能会出现公开的利用代码。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。建议密切关注安全社区的动态,并及时采取缓解措施。
Applications utilizing @nyariv/sandboxjs to isolate untrusted code are at significant risk. This includes web applications, desktop applications, and any environment where JavaScript code is executed within a sandboxed environment. Projects relying on older versions of the library, particularly those with limited security monitoring, are especially vulnerable.
• nodejs / supply-chain:
npm list @nyariv/sandboxjs• nodejs / supply-chain:
npm audit @nyariv/sandboxjs• generic web: Inspect application code for usage of @nyariv/sandboxjs and any user-controlled data being used to modify Map objects.
disclosure
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级到 @nyariv/sandboxjs 的 0.8.29 版本或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,审查代码,确保没有直接依赖于 Map 对象的原型链。其次,如果可能,限制沙箱环境中的权限,减少攻击者利用漏洞的潜在影响。第三,实施 Web 应用防火墙 (WAF) 规则,以检测和阻止与沙箱逃逸相关的恶意请求。最后,监控应用程序日志,查找任何异常行为,并及时响应。
将 SandboxJS 库更新到 0.8.29 或更高版本。此版本通过避免 Map 原型的操作来修复沙箱逃逸漏洞。要更新,请使用相应的包管理器(例如 npm 或 yarn)并安装最新版本。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-25587 描述了 @nyariv/sandboxjs 库中的一个严重漏洞,攻击者可以通过覆盖 Map 对象的原型链上的 has 方法来逃逸沙箱环境,从而执行恶意代码。
如果您的应用程序使用了 @nyariv/sandboxjs 0.8.28 或更早版本,则可能受到此漏洞的影响。请立即升级到 0.8.29 或更高版本。
最简单的修复方法是升级到 @nyariv/sandboxjs 的 0.8.29 版本或更高版本。您可以使用 npm 命令 npm install @nyariv/sandboxjs@latest 来完成升级。
目前尚未确认 CVE-2026-25587 正在被积极利用,但由于漏洞的严重性,预计可能会出现公开的利用代码。
请访问 @nyariv/sandboxjs 的 GitHub 仓库或官方网站,查找有关 CVE-2026-25587 的安全公告。