沙箱函式庫SandboxJS修補CVSS滿分重大漏洞,未更新可能導致執行任意程式碼

內容摘要

開源 JavaScript 沙箱函式庫 SandboxJS 於 2026 年 5 月初發布資安公告,揭露 CVSS 滿分漏洞 CVE-2026-43898(CVSS 10.0),可讓攻擊者突破沙箱限制執行任意程式碼。

漏洞詳情

項目內容
CVE 編號CVE-2026-43898
CVSS 分數10.0(滿分)
影響版本0.9.5 及以前版本
修補版本0.9.6

漏洞原因

  • 問題出在 createFunction() 函式的隔離機制存在嚴重缺陷
  • 攻擊者可偽造上下文(context)與物件參數,呼叫主機端的 Function 建構函式
  • 進而突破沙箱隔離,在主機端執行任意 JavaScript 程式碼

影響範圍

SandboxJS 常用於:

  • Node.js 與瀏覽器環境
  • 外掛程式系統
  • 線上程式執行平台
  • AI 代理環境

行動建議

用戶應儘速升級至 0.9.6 版本

衍生頁面