PT-2020-13902 · Jerryscript · Jerryscript
Nszetei
·
Publicado
2020-06-15
·
Atualizado
2021-07-21
·
CVE-2020-14163
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
JerryScript versão 2.2.0
Descrição
Foi descoberta uma falha no arquivo ecma/operations/ecma-container-object.c, na qual as operações com pares chave/valor não consideravam o caso em que a coleta de lixo é acionada após a operação de chave, mas antes da operação de valor. Isso é demonstrado pelo acesso de leitura indevido à memória na função ecma gc set object visited, no arquivo ecma/base/ecma-gc.c.
Recomendações
Para a versão 2.2.0 do JerryScript, como solução temporária, considere restringir o acesso à função
ecma gc set object visited em ecma/base/ecma-gc.c até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jerryscript