「SandboxJS」に脆弱性 - 1月下旬以降「クリティカル」7件目
JavaScriptサンドボックスライブラリ「SandboxJS」に脆弱性が明らかとなった。1月下旬以降、「クリティカル」とされる脆弱性がたびたび修正されており注意が必要だ。
ホストにおけるプロトタイプの保護機能に問題があり、永続的なプロトタイプ汚染が可能となる脆弱性「CVE-2026-25881」が明らかとなった。リモートからプロトタイプを改変し、サンドボックス外でコードを実行できる。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは最高値となる「10.0」と評価されており、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
脆弱性の判明を受けて、開発者は「同0.8.31」にて修正を実施した。「SandboxJS」に関しては、2026年1月下旬以降、「クリティカル(Critical)」とされる脆弱性が相次いで確認されている。
具体的には「CVE-2026-23830」や「CVE-2026-25142」のほか、「CVE-2026-25520」「CVE-2026-25586」「CVE-2026-25587」「CVE-2026-25641」なども判明。今回の「CVE-2026-25881」で7件目となり、アップデート漏れなどが生じていないか注意が必要。
深刻な脆弱性が発見されると、問題部分周辺をはじめ、詳細な調査が行われることで、あらたな脆弱性の発見につながるケースがある。
(Security NEXT - 2026/02/13 )
ツイート
PR
関連記事
JetBrains「TeamCity」にAPI露出の脆弱性 - ゲストも悪用可能
「SandboxJS」にサンドボックス回避のRCE脆弱性
「Exim」に複数脆弱性 - 「クリティカル」との評価も
「pgAdmin 4」に複数脆弱性 - 認証情報漏洩や任意コマンド実行のおそれ
オブジェクトストレージ「Dell ECS」「ObjectScale」に深刻な脆弱性
「Apache MINA」の深刻な脆弱性 - 複数ブランチで修正未反映
「BerriAI LiteLLM」にSQLi脆弱性 - 認証情報漏洩のおそれ、悪用も
「Android」に近接ネットワーク経由のRCE脆弱性 - PoC公開も
「Linuxカーネル」の暗号通信処理にLoP脆弱性「Dirty Frag」
米当局、脆弱性3件の悪用を警告 - 「Ivanti EPMM」「PAN-OS」は緊急対応を
