「SandboxJS」に脆弱性 - 1月下旬以降「クリティカル」7件目

JavaScriptサンドボックスライブラリ「SandboxJS」に脆弱性が明らかとなった。1月下旬以降、「クリティカル」とされる脆弱性がたびたび修正されており注意が必要だ。

ホストにおけるプロトタイプの保護機能に問題があり、永続的なプロトタイプ汚染が可能となる脆弱性「CVE-2026-25881」が明らかとなった。リモートからプロトタイプを改変し、サンドボックス外でコードを実行できる。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは最高値となる「10.0」と評価されており、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

脆弱性の判明を受けて、開発者は「同0.8.31」にて修正を実施した。「SandboxJS」に関しては、2026年1月下旬以降、「クリティカル（Critical）」とされる脆弱性が相次いで確認されている。

具体的には「CVE-2026-23830」や「CVE-2026-25142」のほか、「CVE-2026-25520」「CVE-2026-25586」「CVE-2026-25587」「CVE-2026-25641」なども判明。今回の「CVE-2026-25881」で7件目となり、アップデート漏れなどが生じていないか注意が必要。

深刻な脆弱性が発見されると、問題部分周辺をはじめ、詳細な調査が行われることで、あらたな脆弱性の発見につながるケースがある。

（Security NEXT - 2026/02/13 ）ツイート