「SandboxJS」に脆弱性 - 1月下旬以降「クリティカル」7件目
JavaScriptサンドボックスライブラリ「SandboxJS」に脆弱性が明らかとなった。1月下旬以降、「クリティカル」とされる脆弱性がたびたび修正されており注意が必要だ。
ホストにおけるプロトタイプの保護機能に問題があり、永続的なプロトタイプ汚染が可能となる脆弱性「CVE-2026-25881」が明らかとなった。リモートからプロトタイプを改変し、サンドボックス外でコードを実行できる。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは最高値となる「10.0」と評価されており、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
脆弱性の判明を受けて、開発者は「同0.8.31」にて修正を実施した。「SandboxJS」に関しては、2026年1月下旬以降、「クリティカル(Critical)」とされる脆弱性が相次いで確認されている。
具体的には「CVE-2026-23830」や「CVE-2026-25142」のほか、「CVE-2026-25520」「CVE-2026-25586」「CVE-2026-25587」「CVE-2026-25641」なども判明。今回の「CVE-2026-25881」で7件目となり、アップデート漏れなどが生じていないか注意が必要。
深刻な脆弱性が発見されると、問題部分周辺をはじめ、詳細な調査が行われることで、あらたな脆弱性の発見につながるケースがある。
(Security NEXT - 2026/02/13 )
ツイート
PR
関連記事
「Parse Server」に認証回避の脆弱性 - 別アプリのトークンでログイン可能に
「i-フィルター」など複数製品に脆弱性 - 修正版をリリース
米当局、「Ivanti EPM」など3製品の脆弱性悪用に注意喚起
「MS Edge」にアップデート - 「クリティカル」脆弱性を複数修正
米当局、悪用カタログに既知脆弱性5件を登録 - AppleやRockwellなど
「iPhone」狙う強力な攻撃キット「Coruna」 - 多数脆弱性を悪用、CVE未採番も
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
「VMware Aria Operations」の脆弱性など悪用に注意喚起 - 米当局
「EC-CUBE」に多要素認証を回避される脆弱性 - 修正パッチを公開
自然言語処理ライブラリ「NLTK」に深刻なRCE脆弱性
