| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.3 | $0-$5k | 0.00 |
Zusammenfassung
In Facebook Hermes wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Hierbei geht es um eine nicht exakt ausgemachte Funktion der Komponente Bytecode Optimization. Die Veränderung resultiert in Pufferüberlauf. Diese Verwundbarkeit ist als CVE-2023-28081 gelistet. Es existiert kein Exploit. Es empfiehlt sich, einen Patch einzuspielen, um dieses Problem zu beheben.
Details
In Facebook Hermes - die betroffene Version ist nicht bekannt - (Social Network Software) wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Betroffen ist eine unbekannte Verarbeitung der Komponente Bytecode Optimization. Durch Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-416. Es ist nicht bekannt, inwiefern sich eine durchgesetzte Attacke genau auswirken wird. Die Zusammenfassung von CVE lautet:
A bytecode optimization bug in Hermes prior to commit e6ed9c1a4b02dc219de1648f44cd808a56171b81 could be used to cause an use-after-free and obtain arbitrary code execution via a carefully crafted payload. Note that this is only exploitable in cases where Hermes is used to execute untrusted JavaScript. Hence, most React Native applications are not affected.Die Schwachstelle wurde am 19.05.2023 öffentlich gemacht. Das Advisory findet sich auf facebook.com. Die Verwundbarkeit wird seit dem 10.03.2023 als CVE-2023-28081 geführt. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Die Schwachstelle lässt sich durch das Einspielen des Patches e6ed9c1a4b02dc219de1648f44cd808a56171b81 lösen. Dieser kann von github.com bezogen werden.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Hersteller
Name
Lizenz
Webseite
- Produkt: https://github.com/facebook/hermes/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.4VulDB Meta Temp Score: 8.3
VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔍
CNA Base Score: 9.8
CNA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-416 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: e6ed9c1a4b02dc219de1648f44cd808a56171b81
Timeline
10.03.2023 🔍19.05.2023 🔍
19.05.2023 🔍
21.01.2025 🔍
Quellen
Produkt: github.comAdvisory: e6ed9c1a4b02dc219de1648f44cd808a56171b81
Status: Bestätigt
CVE: CVE-2023-28081 (🔍)
GCVE (CVE): GCVE-0-2023-28081
GCVE (VulDB): GCVE-100-229387
Eintrag
Erstellt: 19.05.2023 07:02Aktualisierung: 21.01.2025 23:57
Anpassungen: 19.05.2023 07:02 (40), 14.06.2023 08:10 (1), 14.06.2023 08:12 (11), 21.01.2025 23:57 (26)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.