关键信息 漏洞概述 漏洞名称: CVE ID: CVE-2024-49365 严重性: Critical 影响版本 受影响版本: <=1.1.6 修复版本: 1.1.7 描述 摘要: 在使用全局 Buffer 的环境中,恶意的 JSON-stringifyable 消息可以通过 函数验证。 详细信息: - 只影响使用 的环境,如浏览器捆绑包、React Native 应用等。 - 检查可以被绕过,导致奇怪的对象被视为消息,并且这些消息可以使 返回错误的真值。 - v2.x 不受影响,因为它验证输入是否为实际的 实例。 PoC (概念验证) 影响 恶意消息可以通过已知的有效消息/签名对进行验证。