江苏
关键词
黑客
以"默认安全"架构著称的现代 JavaScript/TypeScript 运行时 Deno 近日曝出两个重大安全漏洞。这些漏洞分别影响运行时的加密兼容性和 Windows 平台命令执行功能,可能导致服务器敏感密钥泄露并允许攻击者执行任意代码。
加密模块漏洞(CVE-2026-22863)
其中最严重的 CVE-2026-22863 漏洞 CVSS 评分高达 9.2,存在于 Deno 的 node:crypto 兼容层中——该模块旨在让 Deno 能够运行为 Node.js 编写的代码。
根据安全公告,node:crypto 实现未能正确终止加密操作。在标准加密流程中,final() 方法本应结束加密过程并清理状态。但在受影响版本中,该方法会使加密流保持开启状态,实质上允许"无限加密"。
报告指出,这种状态管理缺陷"可能导致暴力破解尝试,以及更精细的攻击手段以获取服务器密钥"。分析报告中提供的 PoC 显示,调用 cipher.final() 会产生一个仍保持活动状态且内部缓冲可访问的 Cipheriv 对象,而非预期的已关闭 CipherBase 对象。
Windows 命令执行漏洞(CVE-2026-22864)
第二个漏洞 CVE-2026-22864 影响 Deno 在 Windows 平台创建子进程的能力。分析报告详细描述了通过 Deno.Command API 执行批处理文件时"绕过已修复漏洞"的方法。
Deno 本应具备防止子进程注入攻击的安全机制。当用户尝试直接运行 .bat 文件时,Deno 通常会抛出 PermissionDenied 错误,提示开发者"使用 shell 执行 bat 或 cmd 文件"以确保参数安全处理。
但研究人员发现可通过修改文件扩展名大小写(特别是.BAT)或操纵命令参数来绕过限制。报告中的 PoC 截图显示,攻击者能通过在批处理文件执行环境中注入参数(args: ["&calc.exe"])成功运行 calc.exe(Windows 计算器),实现在主机上执行任意代码。
修复建议
用户应立即升级至 Deno v2.6.0 或更高版本以修复这些漏洞。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
