Обнаружена ошибка в QuickJS-NG QuickJS до 0.12.1. Это влияет на функцию js_iterator_concat_return файла fastjs.c. Эта манипуляция вызывает использование после бесплатного.
Атака требует локального доступа. Эксплойт опубликован и может быть использован. Название патча: daab4ad4bae4ef071ed0294618d6244e92def4cd.
Для устранения этой проблемы рекомендуется установить исправление.
Показать оригинальное описание (EN)
A flaw has been found in quickjs-ng quickjs up to 0.12.1. This affects the function js_iterator_concat_return of the file quickjs.c. This manipulation causes use after free. The attack requires local access. The exploit has been published and may be used. Patch name: daab4ad4bae4ef071ed0294618d6244e92def4cd. Applying a patch is the recommended action to fix this issue.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 8
https://github.com/quickjs-ng/quickjs/
cna@vuldb.com
https://github.com/quickjs-ng/quickjs/commit/daab4ad4bae4ef071ed0294618d6244e92…
cna@vuldb.com
https://github.com/quickjs-ng/quickjs/issues/1368
cna@vuldb.com
https://github.com/quickjs-ng/quickjs/issues/1368#issue-4004680962
cna@vuldb.com
https://github.com/quickjs-ng/quickjs/pull/1370
cna@vuldb.com
https://vuldb.com/?ctiid.350414
cna@vuldb.com
https://vuldb.com/?id.350414
cna@vuldb.com
https://vuldb.com/?submit.769600
cna@vuldb.com