CVE-2024-43357

ECMAScript (versões afetadas não especificadas)

Um problema na especificação ECMAScript relativa aos geradores assíncronos pode levar a uma implementação incorreta, de forma a representar um problema de segurança, como confusão de tipos e desreferência de ponteiros. O mecanismo interno do gerador assíncrono chama funções regulares de resolução de promessas em objetos IteratorResult, assumindo que esses objetos não serão then-ables. No entanto, esses objetos podem ser tornados then-ables, desencadeando comportamentos arbitrários, incluindo a reentrada no mecanismo do gerador assíncrono de uma forma que viola algumas invariantes internas.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Os implementadores devem consultar a especificação ECMAScript mais recente e atualizar suas implementações para estar em conformidade com a seção AsyncGenerator.

Os usuários que não puderem atualizar para a versão corrigida devem usar mecanismos de tratamento de exceções para garantir que quaisquer exceções causadas pelo mecanismo não afetem a disponibilidade do aplicativo principal.