製品・ソフトウェアに関する情報

Vulnerability Search

ベンダー検索

Product/Service Search

JVN Vulnerability Search Top

->

JVN脆弱性詳細

nyarivのSandboxJSにおけるコードインジェクションの脆弱性

Title	nyarivのSandboxJSにおけるコードインジェクションの脆弱性
Summary	SandboxJSはJavaScriptのサンドボックスライブラリです。バージョン0.9.6以前では、サンドボックス内で定義された関数がFunction.callerを公開していました。これにより、サンドボックス化されたコードが内部のLispType.Callランタイムコールバックを取得できてしまいます。そのコールバックは攻撃者が制御する偽のコンテキストおよびobj値で呼び出すことが可能であり、ブロックされたホストの静的情報を抽出し、実際のホストのFunctionコンストラクタを復元し、任意のホストJavaScriptを実行できる脆弱性が存在していました。この脆弱性はバージョン0.9.6で修正されています。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 28, 2026, midnight
Registration Date	June 3, 2026, 3:36 p.m.
Last Update	June 3, 2026, 3:36 p.m.

CVSS3.0 : 緊急
Score	10
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Affected System

nyariv

SandboxJS 0.9.6 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-43898	https://www.cve.org/CVERecord?id=CVE-2026-43898
National Vulnerability Database (NVD)
2	CVE-2026-43898	https://nvd.nist.gov/vuln/detail/CVE-2026-43898

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	Name	URL
GitHub
1	Sandbox escape via Function.caller leakage of internal call op Advisory nyariv/SandboxJS GitHub	https://github.com/nyariv/SandboxJS/security/advisories/GHSA-g8f2-4f4f-5jqw

その他

No	Name	URL
関連文書
1	Merge commit from fork nyariv/SandboxJS@8268652 GitHub	https://github.com/nyariv/SandboxJS/commit/826865251232611ec94078bab5a18ec875dad4a5

Change Log

No	Changed Details	Date of change
1	[2026年06月03日] 掲載	June 3, 2026, 3:36 p.m.

NVD Vulnerability Information

CVE-2026-43898

Summary	SandboxJS is a JavaScript sandboxing library. Prior to 0.9.6, sandbox-defined functions expose Function.caller, allowing sandboxed code to recover the internal LispType.Call runtime callback. That callback can then be invoked with attacker-controlled fake context and obj values to extract blocked host statics, recover the real host Function constructor, and execute arbitrary host JavaScript. This vulnerability is fixed in 0.9.6.
Publication Date	May 29, 2026, 3:16 a.m.
Registration Date	May 29, 2026, 4:15 a.m.
Last Update	May 29, 2026, 3:38 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/nyariv/SandboxJS/commit/826865251232611ec94078bab5a18ec875dad4a5	security-advisories@github.com
2	https://github.com/nyariv/SandboxJS/security/advisories/GHSA-g8f2-4f4f-5jqw	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html