Vulnerabilidad en bellard / quickjs (CVE-2025-69654)

Una entrada JavaScript manipulada, ejecutada con la versión QuickJS 2025-09-13, corregida en el commit fcd33c1afa7b3028531f53cd1190a3877454f6b3 (2025-12-11), el intérprete 'qjs' utilizando la opción '-m' y un límite de memoria bajo, puede causar una condición de agotamiento de memoria seguida de un fallo de aserción en JS_FreeRuntime (list_empty(&rt->gc_obj_list)) durante la limpieza del tiempo de ejecución. Aunque el motor informa un error OOM, posteriormente aborta con SIGABRT porque la lista de objetos GC no se libera completamente. Esto resulta en una denegación de servicio.