CVE-2026-34208：@nyariv/sandboxjs沙箱绕过漏洞 (CVSS 10)

CVE-2026-34208 影响 SandboxJS，允许攻击者绕过旨在防止对全局对象进行直接修改的安全保护。该漏洞在于暴露的构造函数路径，该路径允许恶意代码将任意属性写入宿主对象的全局对象。这尤其严重，因为这些修改可能持续存在于同一进程中的不同 Sandbox 实例中，从而损害应用程序的完整性。CVSS 分数为 10.0 表示一个关键漏洞，具有潜在的灾难性影响，尤其是在使用 SandboxJS 隔离不受信任代码的环境中。

Applications utilizing @nyariv/sandboxjs for sandboxing JavaScript code are at risk, particularly those deployed in Node.js environments. This includes applications that dynamically execute user-provided code or interact with untrusted data sources. Shared hosting environments where multiple applications share the same Node.js process are especially vulnerable, as a compromise in one application could potentially affect others.

• nodejs / server:

  npm list @nyariv/sandboxjs

• nodejs / server:

  grep -r 'this.constructor.call(target, attackerObject)' ./node_modules/@nyariv/sandboxjs/

• nodejs / server:

  npm audit @nyariv/sandboxjs

1. 2026-04-03Disclosure

   disclosure

1. 已保留2026-03-26
2. 发布日期2026-04-03
3. 修改日期2026-04-06
4. EPSS 更新日期2026-04-14

针对 CVE-2026-34208 的主要缓解措施是将 SandboxJS 更新到 0.8.36 或更高版本。此版本包含修复程序，该修复程序阻止了易受攻击的构造函数路径。同时，作为临时措施，建议限制 Sandbox 中对 Function.prototype.call 的访问，尽管这可能会影响某些应用程序的功能。应执行代码审计以识别对漏洞的任何潜在使用情况，并在必要时应用其他补丁。监控应用程序日志以查找可疑活动也可以帮助检测和响应潜在攻击。