Ses
Уязвимости
2
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01234
Распределение по критичности
Критический
1
Высокий
1
Средний
0
Низкий
0
Затронутые диапазоны версий
0.13.0–0.13.5< 1.12.0
Также сопоставлено как (исходные строки): ses
Топ уязвимостей
CVE-2023-39532SES - это среда JavaScript, которая позволяет безопасно выполнять произвольные программы в Compartments. В версии 0.18.0 до 0.18.7, 0.17.0 до 0.17.1, 0.16.0 до 0.16.1, 0.15.0 до 0.15.24, 0.14.0 до 0.14.5, и 0.13.0 до 0.13.5 существует дыра в ограничении гостевых приложений в SES, которая может проявляться либо как возможность эксфильтрации информации, либо как выполнение произвольного кода в зависимости от конфигурации и реализации окружающего хоста. Гостевая программа, работающая внутри Compartment, даже без каких-либо прав, может получить доступ к динамическому импорту окружающего хоста, используя динамический импорт после оператора распространения, например `{...import(arbitraryModuleSpecifier)}`. В Интернете или в веб-расширениях Content-Security-Policy, следующая обычным передовым практикам, вероятно, смягчает как риск эксфильтрации, так и выполнения произвольного кода, по крайней мере, ограничивая модули, которые злоумышленник может импортировать, теми, которые уже являются частью приложения. Однако без Content-Security-Policy динамический импорт можно использовать для выдачи HTTP-запросов либо для связи через URL, либо для выполнения кода, доступного из этого источника. Внутри XS worker злоумышленник может использовать систему модулей хоста в той степени, в которой хост был настроен. Обычно это позволяет получить доступ только к коду модуля в файловой системе хоста и имеет ограниченную пользу для злоумышленника. Внутри Node.js злоумышленник получает доступ к системе модулей Node.js. Импорт мощных встроенных функций бесполезен, за исключением тех случаев, когда есть побочные эффекты, и смягчается тем, что динамический импорт возвращает обещание. Распространение обещания в объект делает обещания бесполезными. Однако Node.js позволяет импортировать URL-адреса данных, поэтому это явный путь к произвольному выполнению. Версии 0.18.7, 0.17.1, 0.16.1, 0.15.24, 0.14.5 и 0.13.5 содержат исправление для этой проблемы. Доступны некоторые обходные пути. В Интернете предоставление надлежащим образом ограниченного Content-Security-Policy смягчает большую часть угрозы. С XS создание двоичного файла, в котором отсутствует возможность загрузки модулей во время выполнения, смягчает всю угрозу. Это будет выглядеть как реализация `fxFindModule` в файле, подобном `xsPlatform.c`, который вызывает `fxRejectModuleFile`.
CVE-2025-32792SES безопасно выполняет сторонний JavaScript-код в изолированной среде. В версиях до 1.12.0 существует уязвимость, позволяющая раскрыть привязки const, let и class в лексической области видимости стороннего кода. Проблема решена в версии 1.12.0. Рекомендуется обновить SES до версии 1.12.0 или выше, либо избегать использования top-level let, const или class привязок в тегах <script>, либо изменить их на var привязки. Источники:
- [1] https://github.com/endojs/endo/security/advisories/GHSA-h9w6-f932-gq62