关键信息总结 漏洞概览 漏洞标识: GHSA-66h4-qj4x-38xp CVE编号: CVE-2026-25587 发布者: nyariv 发布时间: 昨日 漏洞严重性: Critical (10.0/10) 修复版本: 0.8.29 受影响的版本: <= 0.8.28 漏洞描述 问题类型: Sandbox Escape 库: @nyariv/sandboxjs (npm) 漏洞细节 根本原因: - 由于 在 内,其原型可以通过 获取。 - 通过重写 方法,可以逃避沙箱限制。 与CVE的关系: 类似于CVE-2026-25142,但问题出在 实现错误,使用 替换 形成漏洞。 代码示例 漏洞证明(PoC) 影响: 能够将 设置为连续操作,导致远程代码执行(RCE)。 漏洞评估 CVSS v3 基本指标: - 攻击向量: Network - 攻击复杂度: Low - 所需权限: None - 用户交互: None - 作用范围: Changed - 机密性影响: High - 完整性影响: High - 可用性影响: High 弱点类型: CWE-94 发现者: c0rydoras