JVNDB-2026-003879

nyarivのSandboxJSにおける複数の脆弱性

SandboxJSはJavaScriptのサンドボックス化ライブラリです。バージョン0.8.26以前には、`SandboxFunction`で`AsyncFunction`が分離されていなかったため、サンドボックスから脱出する脆弱性が存在していました。このライブラリは、グローバルの`Function`コンストラクタを安全なサンドボックス版の`SandboxFunction`に置き換えることでコードの実行をサンドボックス化しようとしています。これは`utils.ts`内で、検索用マップにおいて`Function`を`sandboxFunction`にマッピングすることで行われています。しかし、0.8.26以前のバージョンでは、`AsyncFunction`、`GeneratorFunction`、`AsyncGeneratorFunction`のマッピングが含まれていませんでした。これらのコンストラクタはグローバルプロパティではなく、インスタンスの`.constructor`プロパティ（例：（async () = {}).constructor）を通じてアクセスできます。`executor.ts`ではプロパティアクセスが処理されます。サンドボックス内で実行されるコードが非同期関数の`.constructor`にアクセスすると（これはサンドボックスが作成を許可します）、`executor`はそのプロパティ値を取得します。`AsyncFunction`が安全な置換マップに存在しなかったため、`executor`は実際のネイティブホストの`AsyncFunction`コンストラクタを返します。JavaScriptの関数用コンストラクタ（`Function`や`AsyncFunction`など）はグローバルスコープで実行される関数を生成します。ホストの`AsyncFunction`コンストラクタを取得することで、攻撃者はサンドボックスの制限をすべて回避し、ホスト環境に完全にアクセス可能な新しい非同期関数を作成してリモートコードを実行でき、これによって制限を突破します。バージョン0.8.26でこの脆弱性は修正されました。

nyariv

• SandboxJS 0.8.26 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Sandbox Escape  Advisory  nyariv/SandboxJS  GitHub

1. 保護メカニズムの不具合(CWE-693) [その他]
2. 動的に操作されるコードリソースの不適切な制御(CWE-913) [その他]
3. コード・インジェクション(CWE-94) [その他]

1. CVE-2026-23830

1. National Vulnerability Database (NVD) : CVE-2026-23830
2. 関連文書 : fix(security): harden sandbox against code execution bypass (GHSA-wxh…  nyariv/SandboxJS@345aee6  GitHub

• [2026年02月17日]
    掲載