SandboxJS
在5月初,開源JavaScript沙箱函式庫SandboxJS專案發布資安公告,揭露重大漏洞CVE-2026-43898,攻擊者可藉此突破沙箱限制,直接在主機端執行任意JavaScript程式碼。這個漏洞影響0.9.5版以前的SandboxJS,已在0.9.6版中修補,用戶應儘速升級到新版本。
SandboxJS主要用於Node.js與瀏覽器,可在隔離環境執行不受信任的JavaScript程式碼,該元件也常用於外掛程式、線上程式執行平臺與AI代理等環境。這次修補的漏洞CVE-2026-43898,CVSS達到10.0滿分,問題源自SandboxJS提供沙箱內程式使用的createFunction()函式,其隔離機制存在嚴重缺陷 ,攻擊者可藉由偽造上下文(context)與物件參數,呼叫主機端的Function建構函式,進而突破沙箱隔離,而得以在主機端執行任意JavaScript程式碼。
