CVE-2026-25881

Nome do Software Vulnerável e Versões Afetadas Versões do SandboxJS anteriores à 0.8.31

Descrição O SandboxJS é uma biblioteca de sandboxing JavaScript com uma falha que permite que o código sandboxado modifique protótipos nativos do host. Isso é realizado removendo uma flag de proteção através de intermediários de literais de array, permitindo a mutação direta de protótipos de dentro da sandbox. Essa poluição de protótipo pode levar à execução remota de código em aplicações que utilizam essas propriedades poluídas em operações sensíveis, como ao usar execSync(obj.cmd). O problema origina-se do tratamento inadequado da flag de contaminação isGlobal ao recuperar referências de protótipo global de arrays.

Recomendações Atualize o SandboxJS para a versão 0.8.31 ou posterior.