CVE-2026-34208 in SandboxJSinfo

Zusammenfassung

von VulDB • 01.06.2026

SandboxJS ist eine JavaScript-Sandboxing-Bibliothek. Vor Version 0.8.36 blockierte SandboxJS die direkte Zuweisung zu globalen Objekten (z. B. Math.random = ...), doch dieser Schutz kann über einen freigegebenen, aufrufbaren Konstruktorpfad umgangen werden: this.constructor.call(target, attackerObject). Da this.constructor auf die interne SandboxGlobal-Funktion aufgelöst wird und Function.prototype.call erlaubt ist, kann Angreifercode beliebige Eigenschaften in globale Host-Objekte schreiben und diese Änderungen über Sandbox-Instanzen hinweg im selben Prozess persistieren. Diese Schwachstelle wurde in Version 0.8.36 behoben.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

26.03.2026

Veröffentlichung

06.04.2026

Moderieren

akzeptiert

Eintrag

VDB-355540

CPE

bereit

CWE

CWE-693 (bestätigt)

CVSS

10.0 (CNA)

EPSS

0.00268

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-34208
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-34208
CVE Details	https://www.cvedetails.com/cve/CVE-2026-34208/

◂ Zurück Übersicht Weiter ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!