PT-2026-6658 · Sandboxjs · Sandboxjs

Cristianstaicu

Publicado

2026-02-05

Atualizado

2026-02-09

CVE-2026-25641

CVSS v3.1

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas Versões do SandboxJS anteriores a 0.8.29

Descrição O SandboxJS, uma biblioteca de sandboxing em JavaScript, apresenta um problema de escape de sandbox. Isso se deve a uma discrepância entre a chave usada para validação e a chave usada para acesso à propriedade. A chave, que deveria ser uma string, não é validada como tal, permitindo que atacantes utilizem objetos maliciosos que alteram os valores das strings durante a sanitização e o acesso à propriedade. Isso pode levar à execução remota de código se um atacante conseguir executar código dentro do sandbox.

Recomendações As versões anteriores a 0.8.29 devem ser atualizadas para a versão 0.8.29.

Exploit

Correção

Time Of Check To Time Of Use

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-367CWE-74

Identificadores relacionados

CVE-2026-25641

GHSA-7X3H-RM86-3342

Produtos afetados

Sandboxjs

PT-2026-6658 · Sandboxjs · Sandboxjs

CVE-2026-25641

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 15