Kritische SandboxJS-Fläche ermöglicht Angreifern Kontrolle über den Host
Ein kritisches Sicherheitsdefekt wurde SandboxJS entdeckt, einer weit verbreiteten JavaScript-Sandboxierungs-Bibliothek, die auf npm verfügbar ist.
Kurzfassung
Warum das wichtig ist
- Ein kritisches Sicherheitsdefekt wurde SandboxJS entdeckt, einer weit verbreiteten JavaScript-Sandboxierungs-Bibliothek, die auf npm verfügbar ist.
- Die Schwachstelle ermöglicht es Angreifern, die Sandbox vollständig zu verlassen und beliebigen Code direkt auf dem Wirtssystem auszuführen.
- Als CVE-2026-43898 katalogisiert, weist sie ein maximales Schweregrad-Score von 10,0 auf, was der schwerwiegendsten möglichen Sicherheitslücke im heutigen zunehmend feindlichen globalen Bedrohungslandschaft entspricht.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Ein kritisches Sicherheitsdefekt wurde SandboxJS entdeckt, einer weit verbreiteten JavaScript-Sandboxierungs-Bibliothek, die auf npm verfügbar ist.
Warum relevant
Das Defekt betrifft alle Versionen des @nyariv/sandboxjs-Pakets bis einschließlich Version 0.9.5.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Das Defekt betrifft alle Versionen des @nyariv/sandboxjs-Pakets bis einschließlich Version 0.9.5. Im Kern liegt das Problem darin, dass versehentlich einen leistungsstarken internen Callback namens LispType.Call auslecken.
Sobald ein Angreifer Zugriff auf diesen Callback erhält, kann er ihn nutzen, um die Sandbox zu verlassen und die gesamte darunterliegende Host-Umgebung vollständig und uneingeschränkt zu kontrollieren. Sicherheitsforscher bei GitHub haben die Schwachstelle identifiziert und das Advisory unter der Kennung GHSA-g8f2-4f4f-5jqw veröffentlicht.
Die Schwachstelle wurde gemeldet, der zudem einen funktionierenden Proof-of-Concept bereitstellte, um genau zu zeigen, wie der Ausbruch unter realen Bedingungen durchgeführt werden kann.
Einordnung fuer Autofahrer
Die Auswirkungen sind schwerwiegend, da ein Angreifer, der diese Lücke ausnutzt, vollständige Remote-Code-Ausführung auf der Host-Maschine erreichen kann, ohne dass Anmeldeinformationen erforderlich sind und ohne jegliche Benutzerinteraktion.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/critical-sandboxjs-escape-vulnerability/
- Quell-URL
- https://cybersecuritynews.com/critical-sandboxjs-escape-vulnerability/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
Australien verschärft die Social-Media-Regelungen für Kinder: Geldbußen werden verdoppelt
Die australische Regierung hat die Geldstrafen für Technologieunternehmen, die Altersbeschränkungen für Kinder unter 16 Jahren auf Social-Media-Plattformen nicht einhalten, von 49,5 Millionen auf 99 Millionen australische Dollar verdoppelt und die Befugnisse des eSafety Commissioner erweitert, um die Plattformen wie Instagram, Facebook, YouTube, Snapchat und TikTok zur Vorlage detaillierter Compliance-Daten zu verpflichten. Diese Verschärfung erfolgt, da Studien zeigen, dass die bisherigen Maßnahmen nur einen begrenzten Einfluss haben, da 85 Prozent der betroffenen Kinder weiterhin Zugang zu diesen Diensten erhalten, und soll die Verantwortung der Unternehmen sowie die negativen Auswirkungen auf die Gesundheit der Jugendlichen stärker adressieren.
