Katalog CVE

CVE-2026-25520

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.29 wartości zwracane przez funkcje nie były odpowiednio zabezpieczone, co pozwalało na uzyskanie dostępu do konstruktora funkcji hosta i wykonanie dowolnego kodu poza sandboxem.

Ocena ryzyka

Ta podatność może prowadzić do wykonania złośliwego kodu w systemie, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych organizacji.

Rekomendacja

Zaleca się aktualizację biblioteki SandboxJS do wersji 0.8.29 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

SandboxJS is a JavaScript sandboxing library. Prior to 0.8.29, The return values of functions aren't wrapped. Object.values/Object.entries can be used to get an Array containing the host's Function constructor, by using Array.prototype.at you can obtain the hosts Function constructor, which can be used to execute arbitrary code outside of the sandbox. This vulnerability is fixed in 0.8.29.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS