Biblioteka Locutus w wersjach przed 3.0.14 umożliwia wykonanie dowolnego kodu (RCE) za pośrednictwem funkcji create_function(). Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika i może być wykorzystana zdalnie.
▸ Pokaż oryginał (EN)
Locutus brings stdlibs of other programming languages to JavaScript for educational purposes. Prior to 3.0.14, the create_function(args, code) function passes both parameters directly to the Function constructor without any sanitization, allowing arbitrary code execution. This is distinct from CVE-2026-29091 which was call_user_func_array using eval() in v2.x. This finding affects create_function using new Function() in v3.x. This vulnerability is fixed in 3.0.14.
Funkcja create_function(args, code) przekazuje oba swoje parametry bezpośrednio do konstruktora Function() języka JavaScript bez jakiejkolwiek sanityzacji. Atakujący może dostarczyć spreparowane dane jako argumenty funkcji, co skutkuje dynamicznym tworzeniem i wykonaniem dowolnego kodu JavaScript. Jest to odrębna podatność od CVE-2026-29091, która dotyczyła funkcji call_user_func_array z użyciem eval() w gałęzi v2.x — niniejszy problem dotyczy funkcji create_function z użyciem new Function() w gałęzi v3.x.
Atakujący może wykonać dowolny kod po stronie serwera lub klienta w kontekście aplikacji korzystającej z biblioteki Locutus, co może prowadzić do pełnego przejęcia kontroli nad systemem, wycieku poufnych danych lub naruszenia integralności aplikacji.
Należy zaktualizować bibliotekę Locutus do wersji 3.0.14 lub nowszej, w której podatność została usunięta. Szczegóły dostępne w referencjach producenta: https://github.com/locutusjs/locutus/releases/tag/v3.0.14
Locutus w wersjach przed 3.0.14 (gałąź v3.x)
Podatność dotyczy wyłącznie gałęzi v3.x biblioteki Locutus i jest odrębna od CVE-2026-29091, który dotyczył gałęzi v2.x. Fix został wprowadzony w wersji 3.0.14.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLocutus
APPLocutus< 3.0.14
Powiązane podatności
Prototype pollution w bibliotece Locutus (JavaScript stdlibs)
Versions of package locutus before 2.0.12 are vulnerable to prototype Pollution via the php.strings.parse_str ...
Locutus brings stdlibs of other programming languages to JavaScript for educational purposes. Prior to version...
Locutus brings stdlibs of other programming languages to JavaScript for educational purposes. Prior to version...
Locutus brings stdlibs of other programming languages to JavaScript for educational purposes. Starting in vers...