CVE-2026-5752 是 cohere-terrarium 1.0.0–1.0.1 版本中发现的沙箱逃逸漏洞。攻击者可以通过 JavaScript 原型链遍历在主机进程上执行任意代码,获得 root 权限。该漏洞已于 2026 年 4 月 14 日公开,建议立即升级至 1.0.2 版本以修复此问题。
该沙箱逃逸漏洞的潜在影响非常严重。攻击者可以利用此漏洞绕过沙箱环境的限制,在主机系统上执行恶意代码。由于漏洞允许以 root 权限执行代码,攻击者可以完全控制受影响的系统,包括窃取敏感数据、安装恶意软件、修改系统配置,甚至利用该系统发起进一步的攻击。攻击者可能通过精心构造的 JavaScript 代码,利用原型链的缺陷,逃逸沙箱环境,从而执行任意代码。如果 cohere-terrarium 被用于处理不受信任的输入,则该漏洞的风险会显著增加。
目前尚无公开的漏洞利用程序 (PoC),但该漏洞的严重性较高,存在被利用的风险。该漏洞已于 2026 年 4 月 14 日公开,属于近期发现的漏洞。由于该漏洞允许以 root 权限执行代码,因此可能被恶意行为者积极利用。建议密切关注安全社区的动态,及时获取最新的漏洞信息和缓解措施。
Organizations utilizing cohere-terrarium for sandboxing or code execution are at risk, particularly those relying on versions 1.0.0 through 1.0.1. Environments where Terrarium is used to execute untrusted code or process user-supplied data are especially vulnerable. Development teams using Terrarium for testing or experimentation should also prioritize patching.
• javascript / sandbox:
// Monitor for prototype chain modifications within the Terrarium sandbox.
// This is a simplified example and requires adaptation to the specific Terrarium implementation.
Object.prototype.__proto__ = { malicious: 'code' };• javascript / sandbox: Inspect JavaScript code for prototype manipulation attempts. • javascript / sandbox: Review Terrarium configuration for overly permissive sandbox settings.
disclosure
漏洞利用状态
EPSS
0.03% (8% 百分位)
修复此漏洞的首要措施是立即升级至 cohere-terrarium 1.0.2 版本或更高版本。如果由于兼容性问题无法立即升级,可以考虑以下缓解措施:限制 cohere-terrarium 的权限,使其只能访问必要的资源;实施严格的输入验证和过滤,防止恶意 JavaScript 代码的注入;监控 cohere-terrarium 的运行情况,及时发现异常行为。此外,可以考虑使用 Web 应用防火墙 (WAF) 来检测和阻止恶意请求。升级后,请确认版本已成功更新,并测试相关功能以确保没有引入新的问题。
升级到 1.0.2 或更高版本以缓解沙箱逃逸漏洞。此更新解决了通过 JavaScript 原型链操作执行任意代码的 root 权限的可能性。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-5752 是 cohere-terrarium 1.0.0–1.0.1 版本中发现的沙箱逃逸漏洞,允许攻击者通过 JavaScript 原型链遍历在主机进程上执行任意代码,权限为 root。
如果您正在使用 cohere-terrarium 1.0.0–1.0.1 版本,则可能受到影响。请立即升级至 1.0.2 版本或更高版本。
升级至 cohere-terrarium 1.0.2 版本或更高版本是修复此漏洞的最佳方法。
目前尚无公开的漏洞利用程序,但由于漏洞的严重性,存在被利用的风险。
请访问 cohere-terrarium 的官方网站或 GitHub 仓库,查找有关 CVE-2026-5752 的安全公告。