SandboxJS is a JavaScript sandboxing library. Prior to 0.8.36, a scope modification vulnerability exists in @nyariv/sandboxjs. The vulnerability allows untrusted sandboxed code to leak internal interpreter objects through the new operator, exposing sandbox scope objects in the scope hierarchy to untrusted code; an unexpected and undesired exploit. While this could allow modifying scopes inside the sandbox, code evaluation remains sandboxed and prototypes remain protected throughout the execution. This vulnerability is fixed in 0.8.36.
SandboxJS versions prior to 0.8.36 contain a scope modification vulnerability allowing untrusted code to leak internal interpreter objects through the new operator. While sandbox code evaluation remains protected, this exposure could enable scope manipulation within the sandboxed environment.
تحتوي مكتبة SandboxJS على ثغرة في إدارة النطاق تسمح بتسريب كائنات المترجم الداخلية عند استخدام عامل التشغيل new. يمكن للأكواد غير الموثوقة داخل الحماية الرملية الوصول إلى كائنات النطاق في الهرمية، مما قد يؤدي إلى تعديل الحالات الداخلية. تم إصلاح هذه الثغرة في الإصدار 0.8.36.
مكتبة SandboxJS الإصدارات السابقة للإصدار 0.8.36 تحتوي على ثغرة تعديل النطاق التي تسمح للأكواد غير الموثوقة بتسريب كائنات المترجم الداخلية. على الرغم من بقاء تقييم الأكواد محمياً، قد يمكن هذا التعرض من التلاعب بالنطاق داخل البيئة المعزولة.
Upgrade SandboxJS to version 0.8.36 or later immediately. Review all implementations using SandboxJS in production environments and validate that untrusted code execution is properly isolated. Implement additional input validation and access controls for sandboxed code execution.
قم بترقية SandboxJS إلى الإصدار 0.8.36 أو أحدث فوراً. راجع جميع التطبيقات التي تستخدم SandboxJS في بيئات الإنتاج والتحقق من أن تنفيذ الأكواد غير الموثوقة معزول بشكل صحيح. طبق التحقق الإضافي من المدخلات وضوابط الوصول لتنفيذ الأكواد المعزولة.