出典: Security NEXT – https://www.security-next.com/180986
「SandboxJS」に脆弱性 – 1月下旬以降「クリティカル」7件目
「SandboxJS」に脆弱性 – 1月下旬以降「クリティカル」7件目
JavaScriptサンドボックスライブラリ「SandboxJS」に脆弱性が明らかとなった。1月下旬以降、「クリティカル」とされる脆弱性がたびたび修正されており注意が必要だ。
ホストにおけるプロトタイプの保護機能に問題があり、永続的なプロトタイプ汚染が可能となる脆弱性「CVE-2026-25881」が明らかとなった。リモートからプロトタイプを改変し、サンドボックス外でコードを実行できる。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは最高値となる「10.0」と評価されており、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
脆弱性の判明を受けて、開発者は「同0.8.31」にて修正を実施した。「SandboxJS」に関しては、2026年1月下旬以降、「クリティカル(Critical)」とされる脆弱性が相次いで確認されている。
具体的には「CVE-2026-23830」や「CVE-2026-25142」のほか、「CVE-2026-25520」「CVE-2026-25
