آسیبپذیری CVE-2026-25641 در کتابخانه SandboxJS با شدت 10 به دلیل نقص در اعتبارسنجی کلیدهای دسترسی به ویژگیها ایجاد شده است. در این نقص، کلیدی که برای بررسی امنیتی استفاده میشود با کلیدی که برای دسترسی واقعی به ویژگی بهکار میرود متفاوت است. این اختلاف باعث میشود مهاجم بتواند اشیای مخرب ارسال کند که هنگام تبدیل به رشته رفتار متفاوتی دارند. در نتیجه، محدودیتهای محیط سندباکس دور زده میشود. این موضوع میتواند منجر به اجرای کد غیرمجاز در محیط محدودشده شود. آسیبپذیری نسخههای قبل از 0.8.29 را تحت تأثیر قرار میدهد. این نقص در نسخه 0.8.29 برطرف شده است. این مسئله یک تهدید جدی برای امنیت برنامههای مبتنی بر SandboxJS محسوب میشود..
- تمام نسخههای قبل از 0.8.29
این آسیبپذیری روی برنامههایی اثر میگذارد که از SandboxJS برای اجرای کد در محیط ایزوله (sandbox) استفاده میکنند. در چنین مواردی، مهاجم میتواند محدودیتهای محیط سندباکس را دور زده و کد دلخواه خود را اجرا کند.
- بهروزرسانی فوری SandboxJS به نسخه 0.8.29 یا بالاتر.
- بازبینی وابستگیها در پروژه برای اطمینان از حذف نسخههای آسیبپذیر.
- استفاده از مکانیزمهای اعتبارسنجی مناسب برای ورودیهای کاربر در جاوااسکریپت.
- اجرای تستهای امنیتی (SAST/DAST) روی کدهایی که از محیط سندباکس استفاده میکنند.
- مانیتورینگ و لاگینگ برای شناسایی رفتار غیرعادی در sandbox.
- استفاده از ابزارهای اسکن وابستگی مثل npm audit یا Snyk برای شناسایی آسیبپذیریهای مشابه زودتر.
- 9