CVE-2026-43898 in SandboxJSinfo

Zusammenfassung

von VulDB • 04.06.2026

SandboxJS ist eine Bibliothek zur Sandboxing von JavaScript. Vor Version 0.9.6 machen über die Sandbox definierte Funktionen `Function.caller` verfügbar, wodurch sandboxed Code den internen Runtime-Callback vom Typ `LispType.Call` wiederherstellen kann. Dieser Callback kann anschließend mit angreiferkontrollierten gefälschten Kontext- und Objektwerten (`context` und `obj`) aufgerufen werden, um blockierte Host-Statischelemente zu extrahieren, den echten Host-Funktionen-Konstruktor (Function constructor) wiederherzustellen und beliebigen Host-JavaScript-Code auszuführen. Diese Schwachstelle wurde in Version 0.9.6 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

04.05.2026

Veröffentlichung

28.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366836

CPE

bereit

CWE

CWE-94 (bestätigt)

CVSS

10.0 (CNA)

EPSS

0.00061

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43898
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43898
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43898/

◂ Zurück Übersicht Weiter ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!