PT-2020-15166 · Facebook · Hermes
Publicado
2020-09-09
·
Atualizado
2022-05-24
·
CVE-2020-1913
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Facebook Hermes anteriores ao commit 2c7af7ec481ceffd0d14ce2d7c045e475fd71dc6
Descrição
O problema está relacionado a um erro de sinalidade de inteiros no interpretador JavaScript. Esse erro pode ser explorado para causar um ataque de negação de serviço ou, potencialmente, permitir a execução remota de código (RCE) por meio de JavaScript malicioso. A explorabilidade desse problema depende da permissão do aplicativo para avaliar JavaScript não confiável, o que não é um cenário comum para a maioria dos aplicativos React Native.
Recomendações
Para versões do Facebook Hermes anteriores ao commit 2c7af7ec481ceffd0d14ce2d7c045e475fd71dc6, atualize para uma versão que inclua a correção para o erro de sinalidade de inteiros no interpretador JavaScript. Como solução alternativa temporária, considere restringir a avaliação de JavaScript não confiável em aplicativos que usam o Hermes para minimizar o risco de exploração.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Hermes