CVE-2026-43898

Nome do Software Vulnerável e Versões Afetadas SandboxJS versões anteriores a 0.9.6

Description Funções definidas na sandbox expõem a propriedade Function.caller, o que permite que o código da sandbox recupere o callback de tempo de execução interno LispType.Call. Um invasor pode invocar esse callback usando valores forjados de context e obj para extrair estáticos do host bloqueados e recuperar o construtor de Função real do host. Esse processo permite a evasão total da sandbox, possibilitando a execução de JavaScript arbitrário no host. O problema decorre da lógica de acesso a propriedades onde o código da sandbox pode acessar as propriedades caller, callee e arguments em funções, vazando especificamente o callback do lado do host em builds CommonJS. O manipulador LispType.Call é vulnerável porque aceita um objeto de parâmetros e utiliza seus campos sem verificar se eles originaram-se do executor.

Recommendations Atualizar para a versão 0.9.6.