CVE-2026-25520

Nome do Software Vulnerável e Versões Afetadas Versões do SandboxJS anteriores a 0.8.29

Descrição O SandboxJS é uma biblioteca de sandbox JavaScript afetada por um problema onde os valores de retorno das funções não são devidamente encapsulados. Isso permite que atacantes usem Object.values ou Object.entries para obter um array contendo o construtor Function do host. Ao utilizar Array.prototype.at, o construtor Function do host pode ser acessado, permitindo a execução de código arbitrário fora da sandbox. O código de prova de conceito fornecido demonstra como aproveitar isso para executar comandos como 'ls -lah' usando o módulo child process. A vulnerabilidade permite escape de sandbox, potencialmente levando à execução remota de código (RCE).

Recomendações Versões anteriores a 0.8.29 devem ser atualizadas para a versão 0.8.29 ou posterior.