CVE-2026-32304
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 43 - wyżej niż 43% wszystkich znanych CVE
Streszczenie
Biblioteka Locutus w wersji przed 3.0.14 zawiera podatność w funkcji create_function(args, code), która przekazuje oba parametry bezpośrednio do konstruktora Function bez żadnej sanityzacji, umożliwiając wykonanie dowolnego kodu JavaScript.
Ocena ryzyka
Atakujący może zdalnie wykonać dowolny kod JavaScript w kontekście aplikacji używającej Locutus, co może prowadzić do przejęcia sesji użytkownika, kradzieży danych lub dalszej eskalacji ataku.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę Locutus do wersji 3.0.14 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Locutus brings stdlibs of other programming languages to JavaScript for educational purposes. Prior to 3.0.14, the create_function(args, code) function passes both parameters directly to the Function constructor without any sanitization, allowing arbitrary code execution. This is distinct from CVE-2026-29091 which was call_user_func_array using eval() in v2.x. This finding affects create_function using new Function() in v3.x. This vulnerability is fixed in 3.0.14.

