平台
nodejs
组件
@nyariv/sandboxjs
修复版本
0.8.35
0.8.34
CVE-2026-26954 描述了 @nyariv/sandboxjs 库中的一个沙箱逃逸漏洞。该漏洞允许攻击者通过构造包含 Function 的数组,并利用 Object.fromEntries 函数,绕过沙箱限制,执行恶意代码。该漏洞影响 0.x.x 版本,已于 2026 年 3 月 13 日公开,建议用户尽快升级至 0.8.34 版本以修复此问题。
该漏洞的潜在影响非常严重,攻击者可以完全绕过沙箱环境,执行任意代码。攻击者可以利用此漏洞窃取敏感数据,例如 API 密钥、数据库凭据等。此外,攻击者还可以利用此漏洞进行横向移动,攻击其他系统。由于沙箱通常用于隔离不受信任的代码,因此此漏洞的爆发可能导致广泛的安全事件。类似于其他沙箱逃逸漏洞,此漏洞可能被用于恶意软件分析、逆向工程以及绕过安全策略。
该漏洞已公开披露,并存在公开的 PoC 代码。目前尚不清楚该漏洞是否已被积极利用,但由于其严重性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录,但由于其潜在影响,可能会在未来被添加到 KEV 目录中。建议持续关注安全社区的动态,了解最新的漏洞信息。
Applications utilizing @nyariv/sandboxjs to isolate untrusted code or user input are at significant risk. This includes web applications, desktop applications, and any environment where sandboxing is employed to enhance security. Projects relying on older versions of the library, particularly those with limited security monitoring, are especially vulnerable.
• nodejs / sandbox:
npm list @nyariv/sandboxjs• nodejs / sandbox: Check package.json for versions below 0.8.34. • nodejs / sandbox: Review application code for usage of @nyariv/sandboxjs and potential injection points.
disclosure
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 0.8.34 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制沙箱中允许使用的对象和方法,避免使用 Object.fromEntries 函数。如果使用 Node.js 代理,可以配置代理规则来阻止恶意代码的执行。此外,监控沙箱的活动,并设置警报以检测异常行为。升级后,请验证沙箱环境是否正常工作,并确认漏洞已成功修复。
将 SandboxJS 库更新到 0.8.34 或更高版本。这将修复沙箱逃逸漏洞。运行 `npm update sandboxjs` 或 `yarn upgrade sandboxjs` 进行更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-26954 是 @nyariv/sandboxjs 库中的一个严重漏洞,允许攻击者通过构造包含 Function 的数组,绕过沙箱限制,执行恶意代码。
如果您正在使用 @nyariv/sandboxjs 的 0.x.x 版本,则可能会受到影响。请立即升级到 0.8.34 或更高版本。
最有效的修复方法是升级到 0.8.34 或更高版本。如果无法立即升级,请考虑限制沙箱中允许使用的对象和方法。
目前尚不清楚该漏洞是否已被积极利用,但由于其严重性,建议尽快采取缓解措施。
请访问 @nyariv/sandboxjs 的官方 GitHub 仓库或相关安全公告页面,以获取有关 CVE-2026-26954 的最新信息。
CVSS 向量