CRITICAL🇬🇧 English

CVE-2026-32304

Locutus: RCE w funkcji create_function() przez brak sanityzacji danych wejściowych

CVSS 9.8v3.1pub. 2026-03-13upd. 2026-06-30

Biblioteka Locutus w wersjach przed 3.0.14 umożliwia wykonanie dowolnego kodu (RCE) za pośrednictwem funkcji create_function(). Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika i może być wykorzystana zdalnie.

Pokaż oryginał (EN)

Locutus brings stdlibs of other programming languages to JavaScript for educational purposes. Prior to 3.0.14, the create_function(args, code) function passes both parameters directly to the Function constructor without any sanitization, allowing arbitrary code execution. This is distinct from CVE-2026-29091 which was call_user_func_array using eval() in v2.x. This finding affects create_function using new Function() in v3.x. This vulnerability is fixed in 3.0.14.

🤖 Analiza AI
Jak działa

Funkcja create_function(args, code) przekazuje oba swoje parametry bezpośrednio do konstruktora Function() języka JavaScript bez jakiejkolwiek sanityzacji. Atakujący może dostarczyć spreparowane dane jako argumenty funkcji, co skutkuje dynamicznym tworzeniem i wykonaniem dowolnego kodu JavaScript. Jest to odrębna podatność od CVE-2026-29091, która dotyczyła funkcji call_user_func_array z użyciem eval() w gałęzi v2.x — niniejszy problem dotyczy funkcji create_function z użyciem new Function() w gałęzi v3.x.

Skutki

Atakujący może wykonać dowolny kod po stronie serwera lub klienta w kontekście aplikacji korzystającej z biblioteki Locutus, co może prowadzić do pełnego przejęcia kontroli nad systemem, wycieku poufnych danych lub naruszenia integralności aplikacji.

Mitygacja

Należy zaktualizować bibliotekę Locutus do wersji 3.0.14 lub nowszej, w której podatność została usunięta. Szczegóły dostępne w referencjach producenta: https://github.com/locutusjs/locutus/releases/tag/v3.0.14

Kogo dotyczy

Locutus w wersjach przed 3.0.14 (gałąź v3.x)

Uwagi

Podatność dotyczy wyłącznie gałęzi v3.x biblioteki Locutus i jest odrębna od CVE-2026-29091, który dotyczył gałęzi v2.x. Fix został wprowadzony w wersji 3.0.14.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Locutus

    APP
    Locutus
    < 3.0.14
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-25521CRITICAL9.4PL ✓ten sam produkt

Prototype pollution w bibliotece Locutus (JavaScript stdlibs)

CVE-2020-7719CRITICAL9.8ten sam produkt

Versions of package locutus before 2.0.12 are vulnerable to prototype Pollution via the php.strings.parse_str ...

CVE-2026-29091HIGH8.1ten sam produkt

Locutus brings stdlibs of other programming languages to JavaScript for educational purposes. Prior to version...

CVE-2026-33993MEDIUM6.9ten sam produkt

Locutus brings stdlibs of other programming languages to JavaScript for educational purposes. Prior to version...

CVE-2026-33994MEDIUM6.3ten sam produkt

Locutus brings stdlibs of other programming languages to JavaScript for educational purposes. Starting in vers...