CVE-2026-0822: Heap-based Buffer Overflow in quickjs-ng quickjs

严重性： 中等 类型： 漏洞 CVE ID: CVE-2026-0822

在 quickjs-ng quickjs（版本0.11.0及之前）中发现一个漏洞。此问题影响文件 quickjs.c 中的 js_typed_array_sort 函数。不当操作导致堆缓冲区溢出。可进行远程利用。漏洞利用代码已公开，并可能被使用。补丁标识为 53eefbcd695165a3bd8c584813b472cb4a69fbf5。建议部署此补丁以修复该问题。

AI分析技术摘要

漏洞 CVE-2026-0822 影响 quickjs-ng quickjs JavaScript引擎，具体为0.11.0及之前版本。问题位于 quickjs.c 文件内的 js_typed_array_sort 函数中，对类型化数组排序操作的不当处理导致堆缓冲区溢出。此内存损坏漏洞可被远程触发，无需身份验证，但需要用户交互来启动攻击向量。溢出可能允许攻击者执行任意代码或通过使应用程序崩溃导致拒绝服务。该漏洞CVSS 4.0评分为5.3，由于可远程利用且无需特权，但对其机密性和完整性的影响有限，因此反映了中等严重性。由提交 53eefbcd695165a3bd8c584813b472cb4a69fbf5 标识的补丁通过纠正排序函数中的缓冲区管理来修复问题。公开的漏洞利用代码存在，增加了被利用的风险，尽管尚未记录到活跃的大规模攻击。Quickjs通常嵌入在物联网设备、边缘计算平台和轻量级Web应用程序中，这使得该漏洞对于使用quickjs作为脚本引擎的环境具有重要意义。该漏洞的利用可能导致设备完整性受损或服务中断。

潜在影响

对于欧洲组织而言，CVE-2026-0822 的影响很大程度上取决于其软件栈中 quickjs 的使用范围。依赖嵌入式系统、物联网设备或嵌入 quickjs 进行脚本编写的自定义Web应用程序的行业面临风险。成功利用可能导致任意代码执行，使攻击者能够控制受影响的设备或应用程序，进而可能导致数据泄露、服务中断或在网络内横向移动。中等严重性评分表明风险适中；然而，公开漏洞利用代码的存在增加了针对性攻击的可能性。如果易受攻击的设备被攻陷，欧洲的关键基础设施部门，如制造业、电信和智慧城市部署，可能面临运营中断。此外，涉及基于quickjs组件的供应链组织可能面临间接风险。该漏洞无需身份验证即可远程利用的特性增加了攻击面，特别是对于面向外部的服务或设备。

缓解建议

为缓解 CVE-2026-0822，欧洲组织应立即对所有受影响的 quickjs 版本（最高至0.11.0）应用由提交 53eefbcd695165a3bd8c584813b472cb4a69fbf5 标识的官方补丁。进行全面盘点，识别内部和第三方软件中所有使用 quickjs 的实例，包括嵌入式设备和物联网平台。在无法立即打补丁的情况下，实施网络级控制以限制对易受攻击服务的访问，并采用应用层防火墙来检测和阻止针对类型化数组排序的可疑输入模式。采用运行时内存保护机制，如地址空间布局随机化（ASLR）和堆完整性检查，以降低利用成功率。定期监控安全公告，了解与quickjs相关的更新或新的利用技术。此外，对quickjs的自定义集成进行代码审查和模糊测试，以识别类似的内存处理问题。向开发人员和系统管理员宣传堆缓冲区溢出的风险以及及时打补丁的重要性。

受影响国家

德国、法国、英国、荷兰、瑞典、芬兰、意大利

技术细节

• 数据版本: 5.2
• 分配者简称: VulDB
• 保留日期: 2026-01-09T18:24:23.935Z
• Cvss版本: 4.0
• 状态: 已发布
• 威胁ID: 69625828f2400df44e4e54f0
• 添加到数据库: 2026年1月10日，下午1:46:16
• 最后丰富: 2026年1月10日，下午2:00:59
• 最后更新: 2026年1月11日，凌晨2:16:12
• 浏览量: 17

来源: CVE数据库 V5 发布日期: 2026年1月10日 星期六