沙箱函式庫SandboxJS修補CVSS滿分重大漏洞,未更新可能導致執行任意程式碼
- 來源: iThome(ID: 478)
- URL: https://www.ithome.com.tw/news/175977
- 發布日期: 2026-05-20
內容摘要
開源 JavaScript 沙箱函式庫 SandboxJS 於 2026 年 5 月初發布資安公告,揭露 CVSS 滿分漏洞 CVE-2026-43898(CVSS 10.0),可讓攻擊者突破沙箱限制執行任意程式碼。
漏洞詳情
| 項目 | 內容 |
|---|---|
| CVE 編號 | CVE-2026-43898 |
| CVSS 分數 | 10.0(滿分) |
| 影響版本 | 0.9.5 及以前版本 |
| 修補版本 | 0.9.6 |
漏洞原因
- 問題出在
createFunction()函式的隔離機制存在嚴重缺陷 - 攻擊者可偽造上下文(context)與物件參數,呼叫主機端的
Function建構函式 - 進而突破沙箱隔離,在主機端執行任意 JavaScript 程式碼
影響範圍
SandboxJS 常用於:
- Node.js 與瀏覽器環境
- 外掛程式系統
- 線上程式執行平台
- AI 代理環境
行動建議
用戶應儘速升級至 0.9.6 版本