Vulnerabilities ›

CVE-2026-34217

High ⚡ Exploit Available

CWE-668 — Weakness Type

                    Published: Apr 6, 2026                      ·  Modified: Apr 13, 2026                      ·  Source: NVD                

CVSS v3

7.2

🔗 NVD Official

📄 Description (English)

SandboxJS is a JavaScript sandboxing library. Prior to 0.8.36, a scope modification vulnerability exists in @nyariv/sandboxjs. The vulnerability allows untrusted sandboxed code to leak internal interpreter objects through the new operator, exposing sandbox scope objects in the scope hierarchy to untrusted code; an unexpected and undesired exploit. While this could allow modifying scopes inside the sandbox, code evaluation remains sandboxed and prototypes remain protected throughout the execution. This vulnerability is fixed in 0.8.36.

🤖 AI Executive Summary

SandboxJS versions prior to 0.8.36 contain a scope modification vulnerability allowing untrusted code to leak internal interpreter objects through the new operator. While sandbox code evaluation remains protected, this exposure could enable scope manipulation within the sandboxed environment.

📄 Description (Arabic)

تحتوي مكتبة SandboxJS على ثغرة في إدارة النطاق تسمح بتسريب كائنات المترجم الداخلية عند استخدام عامل التشغيل new. يمكن للأكواد غير الموثوقة داخل الحماية الرملية الوصول إلى كائنات النطاق في الهرمية، مما قد يؤدي إلى تعديل الحالات الداخلية. تم إصلاح هذه الثغرة في الإصدار 0.8.36.

🤖 ملخص تنفيذي (AI)

مكتبة SandboxJS الإصدارات السابقة للإصدار 0.8.36 تحتوي على ثغرة تعديل النطاق التي تسمح للأكواد غير الموثوقة بتسريب كائنات المترجم الداخلية. على الرغم من بقاء تقييم الأكواد محمياً، قد يمكن هذا التعرض من التلاعب بالنطاق داخل البيئة المعزولة.

🤖 AI Intelligence Analysis Analyzed: May 8, 2026 14:18

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking government fintech

🎯 MITRE ATT&CK Techniques

T1059.007 T1548.004

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade SandboxJS to version 0.8.36 or later immediately. Review all implementations using SandboxJS in production environments and validate that untrusted code execution is properly isolated. Implement additional input validation and access controls for sandboxed code execution.

🔧 خطوات المعالجة (العربية)

قم بترقية SandboxJS إلى الإصدار 0.8.36 أو أحدث فوراً. راجع جميع التطبيقات التي تستخدم SandboxJS في بيئات الإنتاج والتحقق من أن تنفيذ الأكواد غير الموثوقة معزول بشكل صحيح. طبق التحقق الإضافي من المدخلات وضوابط الوصول لتنفيذ الأكواد المعزولة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-3.1 ECC-3.2

🔵 SAMA CSF

CC6.1 CC6.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 2

🔗

https://github.com/nyariv/SandboxJS/security/advisories/GHSA-hg73-4w7g-q96w

security-advisories@github.com

Exploit Mitigation Vendor Advisory

🔗

https://github.com/nyariv/SandboxJS/security/advisories/GHSA-hg73-4w7g-q96w

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Mitigation Vendor Advisory

📦 Affected Products / CPE 1 entries

nyariv:sandboxjs

📊 CVSS Score

7.2

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.2

CWECWE-668

EPSS0.05%

Exploit ✓ Yes

Patch ✗ No

Published 2026-04-06

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

exploit-available CWE-668

🏢 Vendor Advisories

🔗 https://github.com/nyariv/SandboxJS/security/advisor... 🔗 https://github.com/nyariv/SandboxJS/security/advisor...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-34217

💬 Comments

Introduce Yourself

Sign In Required