CVE-2026-34208

Nome do Software Vulnerável e Versões Afetadas SandboxJS versões anteriores a 0.8.35

Descrição SandboxJS possui uma falha onde a atribuição direta a objetos globais é bloqueada, mas essa proteção pode ser ignorada por meio de um caminho de construtor chamável usando this.constructor.call(target, attackerObject). Isso permite que o código do invasor grave propriedades arbitrárias em objetos globais do host, persistindo essas alterações em todas as instâncias de sandbox dentro do mesmo processo. A vulnerabilidade surge porque a gravação perigosa é realizada internamente por uma função chamável do host, ignorando as verificações de gravação pretendidas. Um invasor pode aproveitar isso para modificar o estado de tempo de execução do host e potencialmente executar código arbitrário, conforme demonstrado pela sobrescrita de Math.random e pela execução de comandos por meio de um gadget do host. Esta é uma fuga de integridade do sandbox, permitindo que código não confiável mute objetos globais compartilhados do host, apesar das proteções de gravação global. Essas mutações podem afetar outras solicitações, locatários ou execuções subsequentes de sandbox, levando potencialmente a um sequestro de fluxo de controle na lógica da aplicação.

Recomendações Atualize para a versão 0.8.35 ou posterior do SandboxJS.