沙箱函式庫SandboxJS修補CVSS滿分重大漏洞,未更新可能導致執行任意程式碼
漏洞概述
資安研究人員指出,在特定條件下,攻擊者可繞過SandboxJS的沙箱限制,執行非預期的任意程式碼,對依賴該工具隔離不受信任程式碼的應用環境構成風險。
修補資訊
- SandboxJS維護者已在0.8.31版本修補該漏洞,使用者應優先升級到0.8.31或更新版本。
- 若短期內受相依限制無法升級,官方也提出防禦縱深作法,例如在宿主程序執行不信任的程式碼前,進行嚴格的輸入驗證與環境隔離。
相關漏洞與對照
該漏洞與其他沙箱相關漏洞類似,例如Node.js沙箱函式庫vm2被發現存在重大沙箱逃逸漏洞CVE-2026-26956,受影響版本為3.10.4,修補版本為3.10.5。