Grist-Core（Grist 關係電子表格資料庫的開源自託管版本）中揭露了一個嚴重的安全漏洞，該漏洞可能導致遠端程式碼執行。此漏洞編號為CVE-2026-24002 （CVSS 評分：9.1），由 Cyera Research Labs命名為Cellbreak 。

發現該漏洞的安全研究員弗拉基米爾·託卡列夫表示：一個惡意公式就能將電子表格變成遠端程式碼執行(RCE)的灘頭陣地。這種沙箱逃逸機制允許公式編寫者執行操作系統命令或運行主機運行時 JavaScript，從而模糊了‘單元格邏輯’和主機執行之間的界限。

Cellbreak 被歸類為Pyodide沙箱逃脫漏洞，與近期影響 n8n（ CVE-2025-68668 ，CVSS 評分：9.9，又稱 N8scape）的漏洞屬於同一類型。該漏洞已在 2026 年 1 月 9 日發布的 1.7.9 版本中修復。

為降低潛在風險，建議使用者盡快更新至最新版本。為暫時緩解此問題，建議將 GRIST_SANDBOX_FLAVOR 環境變數設定為「gvisor」。

資料來源：https://thehackernews.com/2026/01/critical-grist-core-vulnerability.html