CVE-2026-37630 CVSS 7.3 高危

CVE-2026-37630 QuickJS-NG远程代码执行漏洞

披露日期: 2026-05-11

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-37630

漏洞类型

远程代码执行

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

QuickJS-NG

漏洞概述

QuickJS-NG v0.12.1版本中存在一处严重的安全漏洞，该漏洞源于js_mapped_arguments_mark函数的实现缺陷。未经身份验证的远程攻击者可利用此漏洞，通过精心构造的特制输入触发该函数的错误逻辑，从而在目标系统上执行任意代码。由于无需用户交互且攻击复杂度较低，该漏洞对运行受影响版本的应用程序构成严重安全风险，可能导致系统被完全控制。

技术细节

该漏洞的核心问题出现在QuickJS-NG引擎的垃圾回收（GC）机制中，具体涉及js_mapped_arguments_mark函数对映射参数对象的标记处理过程。当JavaScript函数使用arguments对象且发生特定内存操作时，由于标记阶段未能正确追踪或验证对象引用，可能导致释放后重用（UAF）或堆内存破坏。攻击者可以通过构造恶意的JavaScript脚本，触发异常的内存标记流程，进而覆盖关键内存区域（如函数指针或返回地址）。通过控制程序执行流，攻击者能够在进程上下文中注入并执行任意Shellcode，实现远程代码执行。

攻击链分析

STEP 1

侦察

攻击者识别出目标应用程序使用了存在漏洞的QuickJS-NG v0.12.1版本作为JavaScript引擎。

STEP 2

武器化

攻击者编写恶意的JavaScript代码，该代码专门设计用于触发js_mapped_arguments_mark函数中的内存破坏逻辑。

STEP 3

投递

通过网络将恶意JavaScript脚本发送给目标服务器。这可能通过接受用户输入的Web接口或API端点完成。

STEP 4

利用

目标引擎解析并执行恶意脚本，导致垃圾回收过程中的标记机制出错，引发内存破坏。

STEP 5

执行

利用内存破坏控制程序指令指针，跳转到攻击者注入的Shellcode，从而以目标进程的权限执行任意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-37630
 * Triggering the vulnerability in js_mapped_arguments_mark
 */
function trigger_vuln() {
    // Attempt to trigger the flaw in mapped arguments handling
    // The issue occurs when the GC marks arguments objects
    function vulnerable_func(a, b, c) {
        // Accessing arguments in a way that triggers the mapped mark logic
        var mapped_args = arguments;
        // Manipulate arguments to potentially corrupt memory during GC
        return mapped_args;
    }

    // Call the function repeatedly to induce GC or specific state
    for (let i = 0; i < 1000; i++) {
        let obj = vulnerable_func(i, i + 1, i + 2);
        // Force garbage collection if environment allows (e.g., --expose-gc in node)
        // if (typeof gc !== 'undefined') gc();
    }
}

trigger_vuln();

影响范围

QuickJS-NG 0.12.1

防御指南

临时缓解措施

如果无法立即升级，建议在应用层面对不可信的JavaScript输入实施严格的过滤机制，阻断潜在的攻击载荷。在网络边界部署Web应用防火墙（WAF）以检测异常的脚本流量。同时，应限制QuickJS-NG进程的系统权限，避免以root或管理员身份运行，以减少成功利用后的影响范围。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-37630
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-37630
3 Details https://www.cvedetails.com/cve/CVE-2026-37630/
4 VulDB https://vuldb.com/cve/CVE-2026-37630
5 Link https://github.com/quickjs-ng/quickjs/issues/1400
6 Link https://github.com/quickjs-ng/quickjs/issues/1400

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表