漏洞概述 漏洞名称: nocobase plugin-workflow-javascript up to 2.0.23 Vm.js createSafeConsole sandbox 漏洞编号: CVE-2026-6224 CVSS评分: 6.6 漏洞类型: Sandbox Escape (沙箱逃逸) 描述: 在 nocobase plugin-workflow-javascript 的 函数中发现了一个漏洞。该漏洞允许通过操纵未知输入导致沙箱逃逸。攻击者可以远程发起攻击,无需认证。 影响范围 受影响软件: nocobase plugin-workflow-javascript 受影响版本: 2.0.0 至 2.0.23 影响函数: 影响文件: 修复方案 当前状态: 无已知缓解措施 建议: 建议替换受影响的对象或使用替代产品 其他信息 MITRE ATT&CK ID: T1011 利用难度: 容易 利用状态: Proof-of-Concept (PoC) 已知 利用代码: 未提供具体代码,但提到可以在 github.com 下载利用代码 总结 该漏洞是一个严重的沙箱逃逸漏洞,影响 nocobase plugin-workflow-javascript 的多个版本。攻击者可以利用此漏洞远程执行恶意代码,无需认证。目前尚无官方修复方案,建议用户尽快采取替代措施以减轻风险。