CVE-2026-0821 - quickjs-ng quickjs quickjs.c js_typed_array_constructor 堆溢出漏洞
概述
CVSS 2.0 评分: 7.5 (高危)
漏洞描述
在 quickjs-ng quickjs 0.11.0 及之前版本中发现一个漏洞。该漏洞影响 quickjs.c 文件中的 js_typed_array_constructor 函数。执行特定操作可导致基于堆的缓冲区溢出。攻击可远程发起。漏洞利用代码已公开披露并可能被利用。该修复补丁标识为 c5d80831e51e48a83eab16ea867be87f091783c5。应应用补丁以修复此问题。
基本信息
- 发布日期: 2026年1月10日 下午1:15
- 最后修改日期: 2026年1月10日 下午1:15
- 远程可利用: 是
- 漏洞来源: cna@vuldb.com
受影响产品
以下产品受 CVE-2026-0821 漏洞影响。即使 cvefeed.io 知晓受影响的确切产品版本,下表中也未体现该信息。
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Quickjs-ng | quickjs |
总计受影响供应商: 1 | 产品: 1
CVSS 评分
通用漏洞评分系统是评估软件和系统中漏洞严重程度的标准化框架。我们收集并显示每个 CVE 来自不同来源的 CVSS 分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 7.5 | CVSS 2.0 | 高危 | 10.0 | 6.4 | cna@vuldb.com | |
| 7.3 | CVSS 3.1 | 高危 | 3.9 | 3.4 | cna@vuldb.com | |
| 6.9 | CVSS 4.0 | 中危 | cna@vuldb.com |
解决方案
应用提供的补丁以修复基于堆的缓冲区溢出漏洞。
- 应用补丁
c5d80831e51e48a83eab16ea867be87f091783c5。 - 更新 quickjs 到包含修复的版本。
- 重新编译受影响的模块。
公告、解决方案和工具参考链接
此处提供了一个精心策划的外部链接列表,提供与 CVE-2026-0821 相关的深入信息、实用解决方案和有价值的工具。
| https://github.com/quickjs-ng/quickjs/pull/1299 | | | https://vuldb.com/?ctiid.340355 | | | https://vuldb.com/?id.340355 | | | https://vuldb.com/?submit.731780 | |
CWE - 通用弱点枚举
CVE 识别漏洞的具体实例,而 CWE 对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2026-0821 与以下 CWE 相关联:
- CWE-119: 内存缓冲区边界内操作限制不当
- CWE-122: 基于堆的缓冲区溢出
常见攻击模式枚举与分类 (CAPEC)
常见攻击模式枚举与分类存储攻击模式,这些模式描述了攻击者利用 CVE-2026-0821 弱点所采用的常见属性和方法。
- CAPEC-8: API 调用中的缓冲区溢出
- CAPEC-9: 本地命令行工具中的缓冲区溢出
- CAPEC-10: 通过环境变量的缓冲区溢出
- CAPEC-14: 客户端注入引起的缓冲区溢出
- CAPEC-24: 过滤器失效导致的缓冲区溢出
- CAPEC-42: MIME 转换
- CAPEC-44: 溢出二进制资源文件
- CAPEC-45: 通过符号链接的缓冲区溢出
- CAPEC-46: 溢出变量和标签
- CAPEC-47: 通过参数扩展的缓冲区溢出
- CAPEC-100: 溢出缓冲区
- CAPEC-123: 缓冲区操纵
- CAPEC-92: 强制整数溢出
漏洞历史记录
以下表格列出了对 CVE-2026-0821 漏洞随时间所做的更改。漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新 CVE 接收 由 cna@vuldb.com 于 2026年1月10日接收
| 操作 | 类型 | 旧值 | 新值 |
|---|
| 添加 | CVSS V4.0 | | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | | 添加 | CVSS V3.1 | | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L | | 添加 | CVSS V2 | | (AV:N/AC:L/Au:N/C:P/I:P/A:P) | | 添加 | CWE | | CWE-119 | | 添加 | CWE | | CWE-122 | | 添加 | 参考 | | https://github.com/quickjs-ng/quickjs/commit/c5d80831e51e48a83eab16ea867be87f091783c5 |
| 添加 | 参考 | | https://github.com/quickjs-ng/quickjs/pull/1299 | | 添加 | 参考 | | https://vuldb.com/?ctiid.340355 | | 添加 | 参考 | | https://vuldb.com/?id.340355 | | 添加 | 参考 | | https://vuldb.com/?submit.731780 |
漏洞评分详情
CVSS 4.0
- 基础 CVSS 分数: 6.9
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 无
- 所需权限: 无
- 用户交互: 无
- 漏洞可利用性评分: 尚未评分
- 影响分数: 尚未评分
- 来源: cna@vuldb.com
CVSS 3.1
- 基础 CVSS 分数: 7.3
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 作用域: 未更改
- 机密性影响: 低
- 完整性影响: 低
- 可用性影响: 低
- 来源: cna@vuldb.com
CVSS 2.0
- 基础 CVSS 分数: 7.5
- 访问向量: 网络
- 访问复杂度: 低
- 身份验证: 无
- 机密性影响: 部分
- 完整性影响: 部分
- 可用性影响: 部分
- 来源: cna@vuldb.com