SandboxJS’da aniqlangan kritik zaiflik host tizimini to‘liq egallash imkonini bermoqda

Zamonaviy veb-ilovalar va server infratuzilmalarida keng qo‘llaniladigan JavaScript sandbox texnologiyalariga qarshi yana bir xavfli tahdid aniqlandi. Bu safar muammo npm platformasida mavjud bo‘lgan mashhur SandboxJS kutubxonasida qayd etildi.

Kiberxavfsizlik mutaxassislari tomonidan aniqlangan ushbu zaiflik hujumchilarga sandbox muhitidan chiqib ketish, himoya cheklovlarini to‘liq chetlab o‘tish va bevosita host tizimida ixtiyoriy kodlarni ishga tushirish imkonini yaratadi. Eng xavotirli jihati shundaki, mazkur hujumni amalga oshirish uchun foydalanuvchi autentifikatsiyasi yoki qo‘shimcha foydalanuvchi harakati talab qilinmaydi.

Mutaxassislar zaiflikni bugungi tahdidli kiber makonda eng xavfli nuqsonlardan biri sifatida baholamoqda.

CVE-2026-43898 — maksimal xavf darajasiga ega zaiflik

Aniqlangan zaiflik CVE-2026-43898 identifikatori ostida ro‘yxatga olingan bo‘lib, unga maksimal — CVSS 10.0 xavflilik darajasi berilgan. Bu esa mazkur nuqson amaliy ekspluatatsiya nuqtai nazaridan nihoyatda xavfli ekanini anglatadi.

Zaiflik npm platformasidagi @nyariv/sandboxjs paketining 0.9.5 va undan avvalgi barcha versiyalariga ta’sir ko‘rsatadi.

Tadqiqotchilar ma’lumotiga ko‘ra, muammo sandbox ichida ishlaydigan funksiyalar orqali ichki tizim callback mexanizmlarining tasodifan oshkor bo‘lib ketishi bilan bog‘liq. Xususan, “LispType.Call” deb nomlangan ichki callback obyektiga noqonuniy murojaat qilish imkoniyati yuzaga kelgan.

Agar hujumchi ushbu callback ustidan nazoratni qo‘lga kiritsa, u sandbox chegaralaridan chiqib, host operatsion tizimida to‘liq nazorat o‘rnatishi mumkin bo‘ladi.

Zaiflik qanday ishlaydi?

Texnik jihatdan muammo kutubxonaning prop.ts faylidagi addOps funksiyasida joylashgan property access logikasi bilan bog‘liq.

Sandbox ichidagi kodlarga funksiyalarning quyidagi xususiyatlariga murojaat qilishga ruxsat berilgan:

  • caller
  • callee
  • arguments

Natijada sandbox ichida ishlayotgan zararli funksiya o‘zini chaqirgan yuqori darajadagi callback obyektini aniqlab olishi mumkin bo‘lgan.

Masalan, hujumchi quyidagi kabi mexanizmdan foydalanishi ehtimoli mavjud:

  • sandbox funksiyasi orqali caller obyektini olish;
  • ichki LispType.Call callback’iga chiqish;
  • soxta parametrlar yuborish;
  • host muhitidagi haqiqiy Function konstruktorini ajratib olish;
  • ixtiyoriy JavaScript kodini host tizimida bajarish.

Bu esa amalda sandbox himoyasining butunlay buzilishi deganidir.

Masofadan turib kod ishga tushirish (RCE) xavfi

Tadqiqotchilar taqdim etgan Proof-of-Concept (PoC) namunasi zaiflik real sharoitda muvaffaqiyatli ekspluatatsiya qilinishi mumkinligini ko‘rsatdi.

Ekspluatatsiya davomida hujumchi Node.js muhiti ichidagi child_process modulidan foydalanib, operatsion tizim buyruqlarini ishga tushirishga muvaffaq bo‘lgan.

Bu esa zaiflik quyidagi xavfli oqibatlarga olib kelishi mumkinligini anglatadi:

  • host serverni to‘liq egallab olish;
  • zararli dasturlarni o‘rnatish;
  • ma’lumotlarni o‘g‘irlash;
  • server infrastrukturasida lateral harakatlanish;
  • ransomware hujumlarini amalga oshirish;
  • maxfiy token va API kalitlarini qo‘lga kiritish.

Mutaxassislarning ta’kidlashicha, sandbox texnologiyalari odatda “ishonchsiz kod”ni xavfsiz tarzda ishga tushirish uchun qo‘llaniladi. Shu sababli aynan sandbox’dan chiqib ketishga imkon beruvchi zaifliklar eng xavfli turdagi nuqsonlardan biri hisoblanadi.

Qaysi tizimlar xavf ostida?

Ushbu zaiflikdan quyidagi platformalar jiddiy zarar ko‘rishi mumkin:

  • onlayn kod muharrirlari;
  • server-side JavaScript xizmatlari;
  • avtomatlashtirish platformalari;
  • CI/CD tizimlari;
  • plugin va skriptlarni ishga tushiruvchi servislar;
  • foydalanuvchi tomonidan yuklangan JavaScript kodlarini bajaruvchi veb-ilovalar.

Agar bunday tizimlarda SandboxJS’dan foydalanilgan bo‘lsa, hujumchi masofadan turib serverni to‘liq nazorat ostiga olishi ehtimoli mavjud.

GitHub tadqiqotchilari zaiflikni oshkor qildi

Zaiflik GitHub xavfsizlik tadqiqotchilari tomonidan aniqlangan va GHSA-g8f2-4f4f-5jqw identifikatori ostida e’lon qilingan.

Muammoni “Macabely” taxallusi ostida faoliyat yurituvchi xavfsizlik tadqiqotchisi aniqlagan hamda ekspluatatsiyaning ishlovchi namunasi ham taqdim etilgan.

Mazkur holat yana bir bor ochiq kodli ekotizimdagi kutubxonalarni muntazam audit qilish naqadar muhim ekanini ko‘rsatmoqda.

Muammo bartaraf etildi, ammo yangilanish shart

Ishlab chiquvchilar tomonidan zaiflikni bartaraf etuvchi 0.9.6 versiyasi chiqarilgan.

Yangilangan versiyada sandbox ichidagi kodlar uchun:

  • caller
  • callee
  • arguments

xususiyatlariga murojaat qilish bloklangan.

Kiberxavfsizlik mutaxassislari barcha foydalanuvchilarga zudlik bilan yangilanish o‘rnatishni tavsiya qilmoqda. Chunki 0.9.5 va undan avvalgi versiyalarda qolish host tizimini jiddiy xavf ostida qoldiradi.

Agar tashkilot hozircha yangilanishni amalga oshira olmasa, vaqtinchalik choralar sifatida:

  • ishonchsiz JavaScript kodlarini ishga tushirishni to‘xtatish;
  • sandbox servislarini tarmoqdan izolyatsiya qilish;
  • container va virtualizatsiya himoyalarini kuchaytirish;
  • Node.js jarayonlari uchun minimal imtiyozlar tamoyilini qo‘llash;
  • monitoring va log tahlilini kuchaytirish

tavsiya etilmoqda.

Sandbox texnologiyalari ko‘plab zamonaviy platformalarning asosiy himoya qatlamlaridan biri hisoblanadi. Biroq aynan shu himoya mexanizmlaridagi kichik mantiqiy xatolar butun server infratuzilmasining komprometatsiya qilinishiga olib kelishi mumkin.

SandboxJS’da aniqlangan CVE-2026-43898 zaifligi kiberxavfsizlik olamida yana bir muhim haqiqatni eslatmoqda: ishonchsiz kodni xavfsiz bajarish — eng murakkab va eng xavfli masalalardan biri bo‘lib qolmoqda.

Agar bunday zaifliklar o‘z vaqtida bartaraf etilmasa, oddiy JavaScript kodi butun boshli serverni egallab olish quroliga aylanishi mumkin.