JavaScript沙箱函式庫SandboxJS曝沙箱逃逸漏洞，在特定情境下觸發RCE

開源JavaScript沙箱函式庫SandboxJS揭露重大漏洞CVE-2026-25881，攻擊者要是能在受害系統中執行沙箱內的不受信任程式碼，可能藉由沙箱逃逸改寫宿主程序的內建原型（Prototype），造成持久性的原型汙染。在宿主應用程式後續把遭汙染的屬性帶入敏感呼叫點的情況下，風險可能進一步升高到遠端程式碼執行（RCE）。GitHub資安通報指出受影響套件為NPM上的@nyariv/sandboxjs，早於0.8.31版的版本都受影響。