Katalog CVE

CVE-2026-32304

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.57%

Percentyl 43 - wyżej niż 43% wszystkich znanych CVE

Streszczenie

Biblioteka Locutus w wersji przed 3.0.14 zawiera podatność w funkcji create_function(args, code), która przekazuje oba parametry bezpośrednio do konstruktora Function bez żadnej sanityzacji, umożliwiając wykonanie dowolnego kodu JavaScript.

Ocena ryzyka

Atakujący może zdalnie wykonać dowolny kod JavaScript w kontekście aplikacji używającej Locutus, co może prowadzić do przejęcia sesji użytkownika, kradzieży danych lub dalszej eskalacji ataku.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę Locutus do wersji 3.0.14 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Locutus brings stdlibs of other programming languages to JavaScript for educational purposes. Prior to 3.0.14, the create_function(args, code) function passes both parameters directly to the Function constructor without any sanitization, allowing arbitrary code execution. This is distinct from CVE-2026-29091 which was call_user_func_array using eval() in v2.x. This finding affects create_function using new Function() in v3.x. This vulnerability is fixed in 3.0.14.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS