江蘇
關鍵詞
黑客
以"默認安全"架構著稱的現代 JavaScript/TypeScript 運行時 Deno 近日曝出兩個重大安全漏洞。這些漏洞分別影響運行時的加密兼容性和 Windows 平臺命令執行功能,可能導致服務器敏感密鑰泄露并允許攻擊者執行任意代碼。
加密模塊漏洞(CVE-2026-22863)
其中最嚴重的 CVE-2026-22863 漏洞 CVSS 評分高達 9.2,存在于 Deno 的 node:crypto 兼容層中——該模塊旨在讓 Deno 能夠運行為 Node.js 編寫的代碼。
根據安全公告,node:crypto 實現未能正確終止加密操作。在標準加密流程中,final() 方法本應結束加密過程并清理狀態。但在受影響版本中,該方法會使加密流保持開啟狀態,實質上允許"無限加密"。
報告指出,這種狀態管理缺陷"可能導致暴力破解嘗試,以及更精細的攻擊手段以獲取服務器密鑰"。分析報告中提供的 PoC 顯示,調用 cipher.final() 會產生一個仍保持活動狀態且內部緩沖可訪問的 Cipheriv 對象,而非預期的已關閉 CipherBase 對象。
Windows 命令執行漏洞(CVE-2026-22864)
第二個漏洞 CVE-2026-22864 影響 Deno 在 Windows 平臺創建子進程的能力。分析報告詳細描述了通過 Deno.Command API 執行批處理文件時"繞過已修復漏洞"的方法。
Deno 本應具備防止子進程注入攻擊的安全機制。當用戶嘗試直接運行 .bat 文件時,Deno 通常會拋出 PermissionDenied 錯誤,提示開發者"使用 shell 執行 bat 或 cmd 文件"以確保參數安全處理。
但研究人員發現可通過修改文件擴展名大小寫(特別是.BAT)或操縱命令參數來繞過限制。報告中的 PoC 截圖顯示,攻擊者能通過在批處理文件執行環境中注入參數(args: ["&calc.exe"])成功運行 calc.exe(Windows 計算器),實現在主機上執行任意代碼。
修復建議
用戶應立即升級至 Deno v2.6.0 或更高版本以修復這些漏洞。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
