SandboxJS修補重大漏洞CVE-2026-23830,沙箱機制可遭繞過執行任意程式碼
漏洞概述
開源JavaScript沙箱工具SandboxJS在2026年2月2日修補重大資安漏洞CVE-2026-23830。該漏洞被登錄為CVSS風險分數達滿分10分,屬於最高風險等級。
攻擊方式與風險
資安研究人員指出,在特定條件下,攻擊者可藉由未受保護的AsyncFunction構造函數,繞過SandboxJS的沙箱限制,執行非預期的任意程式碼,並取得完整主機環境的存取權限。
影響範圍與建議
- 影響範圍:SandboxJS版本早於0.8.26。
- 建議措施:開發者應儘速更新至版本0.8.26或以上,並檢視目前部署環境中對SandboxJS的依賴。