CVE-2026-25520
CriticalSummary
SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.29 wartości zwracane przez funkcje nie były odpowiednio zabezpieczone, co pozwalało na uzyskanie dostępu do konstruktora funkcji hosta i wykonanie dowolnego kodu poza sandboxem.
Risk Assessment
Ta podatność może prowadzić do wykonania złośliwego kodu w systemie, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych organizacji.
Recommendation
Zaleca się aktualizację biblioteki SandboxJS do wersji 0.8.29 lub nowszej, aby usunąć tę podatność.
Original NVD description (English source)
SandboxJS is a JavaScript sandboxing library. Prior to 0.8.29, The return values of functions aren't wrapped. Object.values/Object.entries can be used to get an Array containing the host's Function constructor, by using Array.prototype.at you can obtain the hosts Function constructor, which can be used to execute arbitrary code outside of the sandbox. This vulnerability is fixed in 0.8.29.

