CVE-2026-26954 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:SandboxJS 存在代码注入漏洞,源于对包含 `Function` 的数组处理不当。<br>💥 **后果**:可能导致**沙箱逃逸**,攻击者突破安全边界执行任意代码。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-94(代码注入)。<br>🐛 **缺陷点**:未正确过滤或转义输入,允许恶意构造的 `Function` 对象进入执行上下文。
Q3影响谁?(版本/组件)
📦 **组件**:SandboxJS。<br>👤 **厂商**:nyariv(个人开发者)。<br>📉 **版本**:**0.8.34 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:获取**高权限**(沙箱内最高权限)。<br>📂 **数据**:可读取、修改、删除敏感数据,甚至控制宿主环境。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低**。<br>🔑 **认证**:CVSS 显示 **PR:N**(无需认证)。<br>🖱️ **交互**:**UI:N**(无需用户交互)。<br>🌐 **网络**:**AV:N**(网络可攻击)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **Exp**:官方参考链接已发布安全公告(GHSA-6r9f-759j-hjgv)。<br>⚠️ **在野**:数据中未提及具体在野利用,但鉴于 CVSS 高分,需警惕 PoC 扩散。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查项目依赖中 `SandboxJS` 版本是否 **< 0.8.34**。<br>📝 **代码**:扫描代码中是否直接拼接或动态执行包含 `Function` 的数组逻辑。
Q8官方修了吗?(补丁/缓解)
🛠️ **补丁**:已发布修复。<br>📌 **行动**:升级至 **0.8.34 或更高版本**。<br>🔗 **详情**:参考 GitHub Security Advisory。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**:若无法升级,**严禁**处理不可信的包含 `Function` 的数组输入。<br>🚫 **隔离**:在网络层限制对该组件的访问,或禁用动态代码执行功能。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。<br>📊 **CVSS**:高分(C:H/I:H/A:H),影响完整性、机密性和可用性。<br>💡 **建议**:立即升级,避免被自动化扫描工具标记为高危风险。