CVE-2026-0821：quickjs-ng quickjs中的堆缓冲区溢出

严重性：中 类型：漏洞

CVE：CVE-2026-0821

描述 在quickjs-ng quickjs最高至0.11.0版本中发现一个漏洞。该漏洞影响quickjs.c文件中的js_typed_array_constructor函数。执行恶意操作可导致堆缓冲区溢出。攻击可以远程发起。漏洞利用方式已被公开披露，并可能被利用。该补丁标识为c5d80831e51e48a83eab16ea867be87f091783c5。应应用补丁以修复此问题。

技术分析摘要 CVE-2026-0821标识了quickjs-ng quickjs JavaScript引擎中的一个堆缓冲区溢出漏洞，具体位于quickjs.c文件的js_typed_array_constructor函数中。该漏洞影响包括0.11.0在内的所有版本。该缺陷源于对类型化数组构造的处理不当，允许攻击者操纵输入导致堆溢出。这可能导致任意代码执行、内存损坏或拒绝服务。该漏洞可远程利用，无需任何身份验证或用户交互，增加了其风险状况。

CVSS 4.0向量（AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P）反映了网络攻击向量、低攻击复杂度、无需权限或用户交互，以及对机密性、完整性和可用性的部分影响。尽管目前尚未在野外发现已知的漏洞利用，但该漏洞已被公开披露，并且标识为c5d80831e51e48a83eab16ea867be87f091783c5的补丁可用于修复此问题。Quickjs-ng quickjs通常嵌入在IoT设备、Web应用程序以及其他需要轻量级JavaScript执行的软件中，这使得该漏洞与广泛的应用程序相关。漏洞的利用可能允许攻击者远程执行任意代码，可能危及受影响系统或导致服务中断。

潜在影响 对于欧洲组织而言，CVE-2026-0821的影响可能很严重，特别是对于那些在嵌入式系统、IoT设备或面向Web的应用程序中依赖quickjs-ng quickjs的组织。成功利用可能导致未经授权的代码执行、数据泄露或拒绝服务，影响关键系统的机密性、完整性和可用性。像制造业、电信和智能基础设施等行业越来越多地集成如quickjs的JavaScript引擎以实现自动化和控制，因此尤其脆弱。无需身份验证即可远程利用的特性增加了攻击面，可能允许攻击者大规模破坏设备或服务。这可能扰乱运营、导致数据丢失或支持在网络内进行横向移动。鉴于中等CVSS评分和对安全属性的部分影响，组织应认真对待此漏洞，以防止利用可能升级为更严重的事件。

缓解建议 为缓解CVE-2026-0821，组织应立即将标识为c5d80831e51e48a83eab16ea867be87f091783c5的官方补丁应用到所有受影响版本（最高至0.11.0）的quickjs-ng quickjs。此外，对使用quickjs的所有系统和应用程序进行全面清点，以确保不存在易受攻击的实例。对运行quickjs的设备实施网络分段和严格的访问控制以限制暴露。采用运行时应用程序自我保护（RASP）或基于行为的异常检测来识别表明漏洞利用尝试的可疑活动。对于IoT和嵌入式设备，与供应商协调以确保固件更新包含该补丁。定期监控威胁情报源，以获取针对此漏洞的新兴利用信息。最后，考虑采用应用程序白名单和沙箱技术来减少潜在利用的影响。

受影响国家 德国、法国、荷兰、英国、意大利、瑞典

来源：CVE Database V5 发布日期：2026年1月10日 星期六