Título (em português)

0
35

Título (em português)

Sumário (em português)

Este artigo explora a vulnerabilidade CVE-2026-12866, que afeta o pacote expr-eval. O artigo fornece uma explica├º├úo t├®cnica para defensores, c├│digo seguro e checklist de mitiga├º├úo.

O que ├® sobre a vulnerabilidade/exploit

A vulnerabilidade CVE-2026-12866 permite que um atacante execute c├│digo arbitr├írio no contexto do aplicativo usando o m├®todo `toJSFunction()` da biblioteca expr-eval. Isso, um atacante pode executar qualquer c├│digo JavaScript fornecendo express├Áes maliciosas compiladas em c├│digo nativo usando a fun├º├úo `new Function()`. Como as express├Áes controladas pelo usu├írio s├úo transformadas diretamente em c├│digo JavaScript execut├ível, os atacantes podem escapar do sandbox intencional e executar c├│digo arbitr├írio dentro do contexto do aplicativo.

Explica├º├úo t├®cnica para defensores

A vulnerabilidade CVE-2026-12866 ocorre porque o pacote expr-eval constrói partes de um segmento de código usando a função `new Function()`, o que permite que os atacantes injetem código malicioso diretamente no contexto do aplicativo. Isso ocorre porque a função `new Function()` não realiza nenhuma validação ou sanitização dos argumentos passados, permitindo que os atacantes injetem código malicioso diretamente no contexto do aplicativo.

Mitigação

Para mitigar a vulnerabilidade CVE-2026-12866, ├® recomend├ível que os desenvolvedores do pacote expr-eval implementem uma valida├º├úo e sanitiza├º├úo dos argumentos passados para a fun├º├úo `new Function()`. Al├®m disso, ├® recomend├ível que os desenvolvedores usem uma biblioteca de seguran├ºa para proteger contra ataques de inje├º├úo de c├│digo. O uso de uma biblioteca de seguran├ºa pode ajudar a proteger contra ataques de inje├º├úo de c├│digo e garantir a seguran├ºa do aplicativo.

Buscar
Categorías
Leer más
Otro
Código de Calculadora Científica en PHP con Guardado de Calculos
file: calculator.php<?php // Iniciar sesiones para almacenar datos session_start(); //...
Por Mario Serrano 2026-06-30 03:06:26 0 18
Ciberseguridad
Vulnerabilitas CVE-2026-12866: Deteksi CVSS, EPSS, dan Kev | CVE Find
Vulnerabilitas CVE-2026-12866Vulnerabilitas CVE-2026-12866: Deteksi CVSS, EPSS, dan Kev | CVE...
Por Mario Serrano 2026-06-30 10:12:20 0 9
Ciberseguridad
ðùð░ð│ð¥ð╗ð¥ð▓ð¥ð║ (ðúð║ÐÇð░Ðùð¢ÐüÐîð║ð¥ÐÄ ð╝ð¥ð▓ð¥ÐÄ)
ðùð░ð│ð¥ð╗ð¥ð▓ð¥ð║ (ðúð║ÐÇð░Ðùð¢ÐüÐîð║ð¥ÐÄ ð╝ð¥ð▓ð¥ÐÄ)ðíÐâð╝ð░ÐÇð¢ð©ð╣ ð¥ð│ð╗ÐÅð┤...
Por Mario Serrano 2026-06-30 16:20:17 0 10
Otro
Titel (in Dutch) (Dutch)
Titel (in Dutch)Samenvatting (in Dutch)Het artikel beschrijft een belangrijk cijfer in de...
Por Mario Serrano 2026-06-30 06:06:56 0 8
Otro
Calculadora Científica PHP: Guarda Cálculos y Historial Web
En este artículo, exploraremos cómo construir una calculadora científica funcional utilizando...
Por Mario Serrano 2026-06-30 03:16:28 0 18