SandboxJS 重大漏洞 CVE-2026-43898(CVSS 10.0)沙箱逃逸執行任意程式碼

開源 JavaScript 沙箱函式庫 SandboxJS 於 2026 年 5 月揭露 CVSS 滿分(10.0)重大漏洞,可允許攻擊者突破沙箱隔離環境並執行任意程式碼。

漏洞詳情

項目內容
CVE 編號CVE-2026-43898
CVSS 分數10.0(滿分)
影響版本0.9.5 及以前版本
修補版本0.9.6

技術原理

漏洞源自 createFunction() 函式的隔離機制缺陷:

  1. 攻擊者可偽造 context(上下文) 與物件參數
  2. 透過偽造參數呼叫主機端的 Function 建構函式
  3. 成功突破沙箱隔離,在主機環境直接執行任意 JavaScript 程式碼

影響範圍

SandboxJS 廣泛用於:

  • Node.js 與瀏覽器環境
  • 外掛程式系統(Plugin Systems)
  • 線上程式執行平台
  • AI 代理環境(高風險)

緩解措施

  • 立即升級至 0.9.6 版本
  • 尚未更新者,應避免在生產環境執行不信任的程式碼

來源文章