CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-25586

Critical
Published: Translated: NVD NIST

Summary

SandboxJS to biblioteka do sandboxingu JavaScript. Przed wersją 0.8.29 istniała możliwość ucieczki z sandboxa poprzez nadpisanie metody hasOwnProperty na obiekcie sandboxowym, co dezaktywowało egzekwowanie białej listy prototypów w ścieżce dostępu do właściwości.

Risk Assessment

To pozwala na bezpośredni dostęp do __proto__ oraz innych zablokowanych właściwości prototypu, co może prowadzić do zanieczyszczenia Object.prototype i trwałego wpływu między sandboxami.

Recommendation

Zaleca się aktualizację do wersji 0.8.29 lub nowszej, aby usunąć tę podatność.

Original NVD description (English source)

SandboxJS is a JavaScript sandboxing library. Prior to 0.8.29, a sandbox escape is possible by shadowing hasOwnProperty on a sandbox object, which disables prototype whitelist enforcement in the property-access path. This permits direct access to __proto__ and other blocked prototype properties, enabling host Object.prototype pollution and persistent cross-sandbox impact. This vulnerability is fixed in 0.8.29.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS