CVE-2026-23830

Nome do Software Vulnerável e Versões Afetadas Versões do SandboxJS anteriores à 0.8.26

Descrição O SandboxJS, uma biblioteca de sandbox JavaScript, possui uma falha na qual o construtor AsyncFunction não é devidamente isolado dentro do SandboxFunction. A biblioteca visa proteger a execução de código substituindo o construtor Function global por uma versão contida em sandbox. No entanto, em versões anteriores à 0.8.26, os mapeamentos para AsyncFunction, GeneratorFunction e AsyncGeneratorFunction estavam ausentes. Isso permite que o código dentro da sandbox acesse o construtor AsyncFunction nativo do host via propriedade .constructor de uma função assíncrona. Ao obter este construtor, um atacante pode criar e executar funções fora da sandbox, levando à Execução Remota de Código (RCE). A vulnerabilidade ocorre devido à falha em interceptar o construtor AsyncFunction, permitindo que atacantes contornem as restrições de segurança e obtenham acesso total ao ambiente do host.

Recomendações Versões anteriores à 0.8.26 devem ser atualizadas para a versão 0.8.26 ou posterior.