Банк данных угроз безопасности информации (BDU) подтвердил наличие критической уязвимости в популярной библиотеке для создания изолированных сред выполнения кода. Уязвимость, зарегистрированная под идентификаторами BDU:2026-04459 и CVE-2026-26954, затрагивает библиотеку SandboxJS версий до 0.8.34. Она позволяет удаленному злоумышленнику осуществить побег из песочницы (sandbox escape), что полностью нивелирует цель изоляции ненадежного кода. Проще говоря, опасный скрипт, запущенный в такой среде, может получить неограниченный доступ к основной системе.
Детали уязвимости
Суть проблемы кроется в классе уязвимостей, известном как "неверное управление генерацией кода" или "инъекция кода" (CWE-94). Ошибка в логике библиотеки позволяет злоумышленнику манипулировать процессом генерации или обработки кода таким образом, чтобы выполнить произвольные команды за пределами предназначенной для этого изолированной среды. Как следствие, потенциально вредоносный код, который должен быть безопасно "запечатан" в песочнице, получает возможность взаимодействовать с хост-системой.
Уровень угрозы оценен как критический по обеим основным шкалам. Баллы по системам CVSS 2.0 и CVSS 3.1 достигают максимального значения - 10.0. Это означает, что для эксплуатации уязвимости не требуются специальные привилегии или действия пользователя, атака может быть проведена удаленно через сеть, а потенциальный ущерб включает полный компрометацию конфиденциальности, целостности и доступности целевой системы. Учитывая, что библиотека SandboxJS используется для безопасного запуска непроверенного кода в Node.js приложениях, сфера потенциального воздействия крайне широка.
Важно отметить, что, по данным BDU эксплойт уже существует в открытом доступе. Это значительно повышает актуальность угрозы, так как снижает порог входа для киберпреступников. Они могут использовать готовые инструменты для атак на уязвимые системы без необходимости разработки собственного кода для эксплуатации.
Производитель библиотеки оперативно отреагировал на сообщение об уязвимости. Проблема была подтверждена, а ее устранение состоялось в версии 0.8.34. Соответственно, основной и единственной рекомендованной мерой защиты является немедленное обновление SandboxJS до актуальной версии. Разработчикам, использующим эту библиотеку в своих проектах, необходимо проверить зависимости и применить патч. Все детали исправления и рекомендации по безопасности опубликованы в репозитории проекта на GitHub в соответствующем Security Advisory.
В заключение, данная ситуация служит очередным напоминанием о критической важности своевременного обновления зависимостей в программных проектах. Библиотеки, обеспечивающие безопасность, такие как песочницы, сами могут стать источником риска при наличии в них уязвимостей. Регулярный мониторинг источников, подобных BDU, и быстрое применение исправлений - это базовые практики, необходимые для поддержания устойчивости информационных систем в современной угрозной среде.
Ссылки
- https://bdu.fstec.ru/vul/2026-04459
- https://www.cve.org/CVERecord?id=CVE-2026-26954
- https://github.com/nyariv/SandboxJS/security/advisories/GHSA-6r9f-759j-hjgv
- https://github.com/nyariv/SandboxJS/commit/e01505b1ea49f4f13956cd12b7ce01b83d2ee085
- https://github.com/nyariv/SandboxJS
- https://github.com/nyariv/SandboxJS/releases/tag/v0.8.34
