PT-2021-15659 · Facebook · Hermes
Publicado
2021-06-15
·
Atualizado
2022-05-24
·
CVE-2021-24037
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Hermes anteriores ao commit d86e185e485b6330216dee8e854455c694e3a36e
Descrição:
Uma vulnerabilidade do tipo “use after free” no Hermes, ao emitir determinadas mensagens de erro, permite que invasores possam executar código arbitrário por meio de JavaScript malicioso. Isso só pode ser explorado se o aplicativo que utiliza o Hermes permitir a avaliação de JavaScript não confiável. A maioria dos aplicativos React Native não é afetada.
Recomendações:
Para versões anteriores ao commit d86e185e485b6330216dee8e854455c694e3a36e, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir a avaliação de JavaScript não confiável em aplicativos que utilizam o Hermes.
Correção
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hermes