漏洞标题
N/A
漏洞描述信息
在提交e6ed9c1a4b02dc219de1648f44cd808a56171b81之前,Hermes中的字节码优化 bug 可能导致使用-after-free机制,通过精心构造的负载实现任意代码执行。需要注意的是,只有在Hermes被用于执行未信任的JavaScript时才可能被攻击。因此,大多数React Native应用程序不会受到影响。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
释放后使用
漏洞标题
N/A
漏洞描述信息
A bytecode optimization bug in Hermes prior to commit e6ed9c1a4b02dc219de1648f44cd808a56171b81 could be used to cause an use-after-free and obtain arbitrary code execution via a carefully crafted payload. Note that this is only exploitable in cases where Hermes is used to execute untrusted JavaScript. Hence, most React Native applications are not affected.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Facebook Hermes 资源管理错误漏洞
漏洞描述信息
Facebook Hermes是美国Facebook公司的一个JavaScript引擎。该引擎针对React Native应用,去提高移动客户端应用App的性能,但是对浏览器 & Node.js 等服务端基础架构并不适用。 Facebook Hermes存在安全漏洞,该漏洞源于存在字节码优化错误,可用于导致释放后重用并通过精心设计的有效载荷获得任意代码执行。
CVSS信息
N/A
漏洞类别
资源管理错误