SandboxJS 重大漏洞 CVE-2026-43898(CVSS 10.0)沙箱逃逸執行任意程式碼
開源 JavaScript 沙箱函式庫 SandboxJS 於 2026 年 5 月揭露 CVSS 滿分(10.0)重大漏洞,可允許攻擊者突破沙箱隔離環境並執行任意程式碼。
漏洞詳情
| 項目 | 內容 |
|---|---|
| CVE 編號 | CVE-2026-43898 |
| CVSS 分數 | 10.0(滿分) |
| 影響版本 | 0.9.5 及以前版本 |
| 修補版本 | 0.9.6 |
技術原理
漏洞源自 createFunction() 函式的隔離機制缺陷:
- 攻擊者可偽造 context(上下文) 與物件參數
- 透過偽造參數呼叫主機端的
Function建構函式 - 成功突破沙箱隔離,在主機環境直接執行任意 JavaScript 程式碼
影響範圍
SandboxJS 廣泛用於:
- Node.js 與瀏覽器環境
- 外掛程式系統(Plugin Systems)
- 線上程式執行平台
- AI 代理環境(高風險)
緩解措施
- 立即升級至 0.9.6 版本
- 尚未更新者,應避免在生產環境執行不信任的程式碼