PT-2020-15164 · Facebook · React Native+1
Publicado
2020-09-04
·
Atualizado
2022-05-24
·
CVE-2020-1911
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Facebook Hermes anteriores ao commit fe52854cdf6725c2eaa9e125995da76e6ceb27da
Descrição
Existe uma falha de confusão de tipos ao resolver propriedades de objetos JavaScript com cadeias de protótipos especialmente criadas. Isso poderia permitir que invasores executassem código arbitrário por meio de JavaScript malicioso, mas somente se o aplicativo que utiliza o Hermes permitir a avaliação de JavaScript não confiável. A maioria dos aplicativos React Native não é afetada.
Recomendações
Para versões do Facebook Hermes anteriores ao commit fe52854cdf6725c2eaa9e125995da76e6ceb27da, atualize para uma versão que inclua a correção do commit fe52854cdf6725c2eaa9e125995da76e6ceb27da para resolver o problema. Como solução alternativa temporária, considere restringir a avaliação de JavaScript não confiável em aplicativos que utilizam o Hermes.
Correção
Type Confusion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hermes
React Native