CVE-2026-25586: Kritische Sandbox-Entweichung in SandboxJS
⚠️ CVE-Referenzen:
CVE-2026-25586
Zusammenfassung
Eine kritische Sicherheitslücke in der JavaScript-Sandboxing-Bibliothek SandboxJS ermöglichte es Angreifern, durch Manipulation der Prototypen-Eigenschaften auf blockierte Funktionen zuzugreifen und so die Sandbox zu umgehen. Dies führte zu Objektverschmutzung und Auswirkungen über mehrere Sandboxes hinweg. Der Fehler wurde in Version 0.8.29 behoben.
SandboxJS is a JavaScript sandboxing library. Prior to 0.8.29, a sandbox escape is possible by shadowing hasOwnProperty on a sandbox object, which disables prototype whitelist enforcement in the property-access path. This permits direct access to __proto__ and other blocked prototype properties, enabling host Object.prototype pollution and persistent cross-sandbox impact. This vulnerability is fixed in 0.8.29.
Quelle: app.opencve.io