「SandboxJS」にあらたなサンドボックス回避脆弱性 - 再度修正を実施
「JavaScript」のサンドボックス環境を提供するライブラリに深刻な脆弱性が判明した。修正版が提供されている。
「同0.8.26」および以前のバージョンにおいて、サンドボックスが回避され、任意のコードが実行可能となるプロトタイプ汚染の脆弱性「CVE-2026-25142」が明らかとなったもの。
同ライブラリに関しては、サンドボックスの外部で任意のコードを実行できる脆弱性「CVE-2026-23830」が判明し、「同0.8.26」にて修正されたばかりだが、別の脆弱性が確認された。
共通脆弱性評価システム「CVSSv3.1」において、ベーススコアは最高値となる「10.0」と評価されており、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
開発者は、「同0.8.27」にて同脆弱性を修正した。現地時間2026年2月2日の時点で最新版は「同0.8.28」となっている。
(Security NEXT - 2026/02/03 )
ツイート
PR
関連記事
「Apache NiFi」に認可管理不備の脆弱性 - 修正版が公開
「MS Edge」にアップデート - ゼロデイ含む脆弱性13件を解消
AIアシスタント「Nanobot」のWhatsApp連携コンポーネントに深刻な脆弱性
「TeamViewer」に脆弱性 - ローカル側の確認を回避可能
BeyondTrust製リモート管理製品の脆弱性悪用が発生 - 米CISAが注意喚起
ブラウザ「Chrome」にゼロデイ脆弱性 - 悪用を確認
ファイル転送製品「FileZen」にRCE脆弱性 - すでに悪用被害も
「SandboxJS」に脆弱性 - 1月下旬以降「クリティカル」7件目
「SandboxJS」に新たなクリティカル脆弱性4件 - 修正実施
「SolarWinds WHD」など4製品の脆弱性悪用に注意喚起 - 米当局
