游乐游手机版
首页/科技数码/文章详情

Deno高危漏洞(CVE-2026-22863/22864)分析:密钥泄露与代码执行风险

时间:2026-01-20 09:13
这些漏洞分别影响运行时的加密兼容性和 Windows 平台命令执行功能,可能导致服务器敏感密钥泄露并允许攻击者执行任意代码。 以 "默认安全 "架构著称的现代 JavaScript TypeScript

这些漏洞分别影响了运行时的加密兼容性与Windows平台的命令执行功能,可能导致服务器敏感密钥泄露,进而使攻击者能够执行任意代码。

以“默认安全”架构著称的现代JavaScript/TypeScript运行时Deno,近日曝出两个重大安全漏洞。这些问题涉及运行时对加密的兼容处理以及Windows平台的命令执行机制,存在服务器密钥泄露风险,并可能允许攻击者在受影响系统上运行任意代码。

加密模块漏洞(CVE-2026-22863)

其中最为严重的CVE-2026-22863漏洞CVSS评分高达9.2,存在于Deno的node:crypto兼容层中——该模块旨在让Deno能够运行为Node.js编写的代码。

根据安全公告,node:crypto的实现未能正确终止加密操作。在标准加密流程中,final()方法本应结束加密过程并清理状态。但在受影响的版本中,该方法会使加密流保持开启状态,实质上允许了“无限加密”。

报告指出,这种状态管理缺陷“可能导致暴力破解尝试,以及更精细的攻击手段以获取服务器密钥”。分析报告中提供的PoC显示,调用cipher.final()会产生一个仍保持活动状态且内部缓冲区可访问的Cipheriv对象,而非预期的已关闭CipherBase对象。

Windows命令执行漏洞(CVE-2026-22864)

第二个漏洞CVE-2026-22864影响Deno在Windows平台创建子进程的能力。分析报告详细描述了通过Deno.Command API执行批处理文件时“绕过已修复漏洞”的方法。

Deno本应具备防止子进程注入攻击的安全机制。当用户尝试直接运行.bat文件时,Deno通常会抛出PermissionDenied错误,提示开发者“使用shell执行bat或cmd文件”以确保参数安全处理。

但研究人员发现可通过修改文件扩展名大小写(特别是.BAT)或操纵命令参数来绕过限制。报告中的PoC截图显示,攻击者能通过在批处理文件执行环境中注入参数(args: ["&calc.exe"])成功运行calc.exe(Windows计算器),实现在主机上执行任意代码。

修复建议

用户应立即升级至Deno v2.6.0或更高版本以修复这些漏洞。

来源:https://www.51cto.com/article/834533.html
上一篇轻量请求库替代Axios,前端性能提升方案实操 下一篇开源LLMOps平台:自部署本地化企业智能体实战指南
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
年国家能源局充换电服务业用电量增速48.8%
科技数码 · 2026-06-29

年国家能源局充换电服务业用电量增速48.8%

2025年全社会用电量达103682亿千瓦时,同比增长5 0%。充换电服务业用电增速高达48 8%,信息传输与软件服务业增速17 0%。第三产业和居民用电对增长贡献率合计占一半。中国成为全球首个年度用电量超10 4万亿千瓦时的国家。

追风者 GLACIER ONE 360 S25 液冷散热器新品上市 联体风扇售价429元
科技数码 · 2026-06-29

追风者 GLACIER ONE 360 S25 液冷散热器新品上市 联体风扇售价429元

追风者冰川360S25液冷散热器售价429元,三联一体风扇便捷安装,冷头小体积纯铜底座噪音18dB,风扇转速300-2000RPM、风量75CFM、静压2 96mmAq,五年质保漏液包赔。

三星Galaxy Watch8用户反馈谷歌后台组件异常
科技数码 · 2026-06-29

三星Galaxy Watch8用户反馈谷歌后台组件异常

三星GalaxyWatch8、Watch5Pro、Watch6及Watch7用户反映,GooglePlayServices后台耗电异常,电量占比最高达99 97%,远超正常水平,严重影响续航。目前故障原因不明,谷歌尚未发布官方声明。

罗永浩批苹果iOS 27创新不足 盼新CEO改进
科技数码 · 2026-06-29

罗永浩批苹果iOS 27创新不足 盼新CEO改进

罗永浩批评苹果iOS27创新不足,称仅有双iPhone同号、音量分离等数十项细节改进,认为库克时代缺乏突破性创新,股市虽好但消费者只能被迫接受挤牙膏式升级。

年国产车出口710万辆,两家车企销量破百万
科技数码 · 2026-06-29

年国产车出口710万辆,两家车企销量破百万

2025年国产汽车出口总量达710万辆,同比增长21%。奇瑞以134万辆居首,比亚迪105万辆次之,上汽乘用车出口占比60%最高,长城出口51万辆。吉利、长安等主流品牌同步增长,小鹏、零跑等新兴品牌海外拓展加速。