CVE-2024-43367 in boa정보

요약

\~에 의해 VulDB • 2026. 07. 11.

Boa는 Rust로 작성된 임베디드 및 실험용 JavaScript 엔진입니다. 버전 0.16부터 버전 0.19.0 이전까지, ECMAScript의 `AsyncGenerator` 연산을 처리할 때 잘못된 가정으로 인해 특정 스크립트에서 미처리 예외(uncaught exception)가 발생할 수 있습니다. Boa의 `AsyncGenerator` 구현은 `%AsyncGeneratorPrototype%.next`, `%AsyncGeneratorPrototype%.return`, 또는 `%AsyncGeneratorPrototype%.throw`와 같은 메서드에 의해 생성된 프라미스를 해결하는 동안 `AsyncGenerator` 객체의 상태가 변경되지 않을 것이라고 가정합니다. 그러나 신중하게 구성된 코드는 프라미스의 `then` 속성에 대한 getter 메서드를 통해 상태 전이를 트리거할 수 있으며, 이는 엔진이 해당 가정에 대한 어설션(assertion)에 실패하여 미처리 예외를 발생시킵니다. 이를 통해 외부 사용자가 제공한 임의의 ECMAScript 코드를 실행하는 애플리케이션에서 서비스 거부(Denial of Service) 공격을 수행할 수 있습니다. 버전 0.19.0에서는 이 사례를 올바르게 처리하도록 패치되었습니다. 패치된 버전으로 업그레이드할 수 없는 사용자는 엔진으로 인해 발생하는 모든 예외가 메인 애플리케이션의 가용성에 영향을 미치지 않도록 `std::panic::catch_unwind`를 사용하는 것이 좋습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

책임이 있는

GitHub M

예약하다

2024. 08. 09.

모더레이션

수락

항목

VDB-274812

EPSS

0.00597

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!