Katalog CVE

CVE-2026-25586

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

SandboxJS to biblioteka do sandboxingu JavaScript. Przed wersją 0.8.29 istniała możliwość ucieczki z sandboxa poprzez nadpisanie metody hasOwnProperty na obiekcie sandboxowym, co dezaktywowało egzekwowanie białej listy prototypów w ścieżce dostępu do właściwości.

Ocena ryzyka

To pozwala na bezpośredni dostęp do __proto__ oraz innych zablokowanych właściwości prototypu, co może prowadzić do zanieczyszczenia Object.prototype i trwałego wpływu między sandboxami.

Rekomendacja

Zaleca się aktualizację do wersji 0.8.29 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

SandboxJS is a JavaScript sandboxing library. Prior to 0.8.29, a sandbox escape is possible by shadowing hasOwnProperty on a sandbox object, which disables prototype whitelist enforcement in the property-access path. This permits direct access to __proto__ and other blocked prototype properties, enabling host Object.prototype pollution and persistent cross-sandbox impact. This vulnerability is fixed in 0.8.29.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS