В Банке данных угроз (BDU) зарегистрирована новая критическая уязвимость в популярной библиотеке SandboxJS, предназначенной для изоляции и безопасного выполнения ненадежного JavaScript-кода. Уязвимость, получившая идентификаторы BDU:2026-05058 и CVE-2026-25881, связана с недостаточным контролем модификации атрибутов прототипа объекта (CWE-1321). Следовательно, злоумышленник может удаленно использовать эту ошибку для выполнения произвольного кода в контексте приложения, что ставит под угрозу всю систему.
Детали уязвимости
Уязвимость затрагивает все версии библиотеки SandboxJS до 0.8.31. Библиотека широко применяется в различных прикладных программных обеспечениях информационных систем для создания защищенных песочниц (sandbox). Основная функция SandboxJS - изоляция и контроль выполняемого скрипта, однако найденная ошибка полностью обходит эти механизмы безопасности. Уязвимость была подтверждена производителем 9 февраля 2026 года, а информация о ней и способы исправления опубликованы в репозитории GitHub.
Уровень опасности уязвимости оценивается как критический. Базовые оценки по шкалам CVSS 2.0 и CVSS 3.1 достигают максимального значения - 10.0. Вектор атаки по CVSS 3.1 описывается как AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Это означает, что для эксплуатации не требуются специальные привилегии или взаимодействие с пользователем, атака может быть проведена удаленно через сеть, а ее последствия затрагивают не только целевую систему, но и смежные компоненты. Успешная эксплуатация приводит к полной компрометации конфиденциальности, целостности и доступности данных.
Главная опасность заключается в том, что в открытом доступе уже существуют рабочие эксплойты. Злоумышленники могут активно использовать их в реальных атаках. Способ эксплуатации связан с манипулированием сроками и состоянием, что позволяет обойти защитные механизмы песочницы. После проникновения злонамеренный код может получить полный контроль над процессом. Более того, для сохранения доступа атакующие могут использовать различные техники обеспечения устойчивости (persistence).
Производитель оперативно отреагировал на обнаружение угрозы. Уязвимость уже устранена в актуальной версии библиотеки. Таким образом, единственной эффективной мерой защиты является немедленное обновление SandboxJS до версии 0.8.31 или выше. Разработчикам, использующим эту библиотеку в своих проектах, необходимо как можно скорее применить патч. Рекомендации по устранению подробно изложены в официальном бюллетене безопасности на GitHub.
Данный инцидент ярко демонстрирует риски, связанные с уязвимостями в фундаментальных библиотеках безопасности. Поскольку SandboxJS встраивается в множество приложений, одна ошибка может создать угрозу для огромного числа систем. К счастью, открытая модель разработки и своевременное оповещение сообщества позволяют быстро реагировать на такие вызовы. Однако скорость реакции пользователей на выпуск исправлений часто остается слабым звеном.
Эксперты по кибербезопасности рекомендуют командам разработки и SOC немедленно провести инвентаризацию своих зависимостей. Необходимо выявить все проекты, использующие уязвимые версии SandboxJS. Кроме того, следует мониторить логи и активность на предмет потенциальных попыток эксплуатации данной уязвимости. Регулярное обновление сторонних компонентов должно стать неотъемлемой частью политики безопасности.
В заключение, критическая уязвимость в SandboxJS служит серьезным напоминанием о важности управления зависимостями и оперативного применения обновлений безопасности. Хотя производитель быстро выпустил исправление, реальная безопасность зависит от действий конечных пользователей и разработчиков. Своевременное обновление остается самым надежным способом защиты от подобных угроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-05058
- https://www.cve.org/CVERecord?id=CVE-2026-25881
- https://github.com/nyariv/SandboxJS/security/advisories/GHSA-ww7g-4gwx-m7wj
- https://github.com/nyariv/SandboxJS/commit/f369f8db26649f212a6a9a2e7a1624cb2f705b53
