漏洞关键信息 漏洞类型: Sandbox Escape CVE ID: CVE-2026-23830 严重程度: Critical (10.0 / 10) 受影响的版本: < 0.8.26 已修复的版本: 0.8.26 包: @nyariv/SandboxJS (npm) 报告者: nyxsorcerer 漏洞描述 Summary: 由于 没有在 中被隔离而引发的沙箱逃逸漏洞。 Details: 库尝试通过替换全局的 构造函数为安全的沙箱版本( )来沙箱化代码执行。 库没有为 、 和 添加映射。 攻击者可以利用这些未被拦截的构造函数创建新的异步函数,从而完全绕过沙箱限制并获得对宿主环境的完全访问权限(远程代码执行)。 证明概念 (PoC) 影响 远程代码执行:攻击者可能能够运行任意代码。