CVE-2026-43898 in SandboxJSinformation

Résumé

par VulDB • 28/05/2026

SandboxJS est une bibliothèque de sandboxing JavaScript. Avant la version 0.9.6, les fonctions définies dans le sandbox exposent Function.caller, permettant au code isolé de récupérer le rappel d'exécution interne LispType.Call. Ce rappel peut ensuite être invoqué avec des valeurs de contexte et d'objets falsifiées contrôlées par l'attaquant afin d'extraire les statiques hôte bloquées, de récupérer le constructeur Function hôte réel et d'exécuter du code JavaScript hôte arbitraire. Cette vulnérabilité est corrigée dans la version 0.9.6.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

04/05/2026

Divulgation

28/05/2026

Modérer

accepté

Entrée

VDB-366836

CPE

prêt

CWE

CWE-94 (confirmé)

CVSS

10.0 (CNA)

EPSS

0.00061

KEV

non

Activités

très faible

Sources

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43898
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43898
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43898/

◂ Précédent Aperçu Suivant ▸

Do you know our Splunk app?

Download it now for free!