Deno高危漏洞(CVE-2026-22863/22864)分析:密钥泄露与代码执行风险
这些漏洞分别影响了运行时的加密兼容性与Windows平台的命令执行功能,可能导致服务器敏感密钥泄露,进而使攻击者能够执行任意代码。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
以“默认安全”架构著称的现代JavaScript/TypeScript运行时Deno,近日曝出两个重大安全漏洞。这些问题涉及运行时对加密的兼容处理以及Windows平台的命令执行机制,存在服务器密钥泄露风险,并可能允许攻击者在受影响系统上运行任意代码。
加密模块漏洞(CVE-2026-22863)
其中最为严重的CVE-2026-22863漏洞CVSS评分高达9.2,存在于Deno的node:crypto兼容层中——该模块旨在让Deno能够运行为Node.js编写的代码。
根据安全公告,node:crypto的实现未能正确终止加密操作。在标准加密流程中,final()方法本应结束加密过程并清理状态。但在受影响的版本中,该方法会使加密流保持开启状态,实质上允许了“无限加密”。
报告指出,这种状态管理缺陷“可能导致暴力破解尝试,以及更精细的攻击手段以获取服务器密钥”。分析报告中提供的PoC显示,调用cipher.final()会产生一个仍保持活动状态且内部缓冲区可访问的Cipheriv对象,而非预期的已关闭CipherBase对象。
Windows命令执行漏洞(CVE-2026-22864)
第二个漏洞CVE-2026-22864影响Deno在Windows平台创建子进程的能力。分析报告详细描述了通过Deno.Command API执行批处理文件时“绕过已修复漏洞”的方法。
Deno本应具备防止子进程注入攻击的安全机制。当用户尝试直接运行.bat文件时,Deno通常会抛出PermissionDenied错误,提示开发者“使用shell执行bat或cmd文件”以确保参数安全处理。
但研究人员发现可通过修改文件扩展名大小写(特别是.BAT)或操纵命令参数来绕过限制。报告中的PoC截图显示,攻击者能通过在批处理文件执行环境中注入参数(args: ["&calc.exe"])成功运行calc.exe(Windows计算器),实现在主机上执行任意代码。
修复建议
用户应立即升级至Deno v2.6.0或更高版本以修复这些漏洞。
相关攻略
攻击者持续扫描互联网寻找未打补丁的基础设施,利用已知漏洞部署恶意软件或建立入侵企业网络的初始通道。 过时系统构成重大攻击面2026年3月23日,Shadowserver基金会在例行网络扫描中发现超过
工具采用基于标志位的输出控制机制,便于AI编程Agent将其作为子进程调用时,能高效解析输出而无需额外token开销。 工具概述密钥扫描已成为工程组织的标准实践,而Gitleaks是该领域应用最广泛
为应对风险,建议用户和企业采取以下措施:加强网络控制、避免OpenClaw默认管理端口暴露在互联网、采用容器隔离服务、避免明文存储凭证、仅从可信渠道下载技能模块、禁用技能自动更新功能,以及保持代理程
目前该漏洞尚无特定的威胁检测签名,因此主动打补丁和严格的权限管理至关重要。 漏洞概述Splunk发布紧急安全公告,警告用户其Enterprise和Cloud平台存在一个高危漏洞(CVE-2026-2
OpenAI称,该工具能建立对整个项目的上下文理解,从而专注于实际可被利用的漏洞,解决了应用安全团队长期面临的警报疲劳问题。 OpenAI新推出的应用安全Agent——Codex Security在
热门专题
热门推荐
3月30日消息,今晚除了手机之外,vivo还发布了全新的旗舰平板——vivo Pad6 Pro。行业首发13 2英寸4K原彩屏,分辨率3840×2160,347PPI,支持1-144Hz LTPS自
WPS表格中提取括号内容有四种方法:一、单对英文小括号用FIND+MID;二、中英文括号通用需SUBSTITUTE预处理;三、多对括号取最后一对需REVERSESTRING反向查找
3月30日,南京新街口核心商圈,苏豪大厦一楼广场上机器人迎宾起舞,充满科技感。由苏豪资产运营集团与南京新街口金融商务区管理委员会(以下简称“新街口管委会”)共同打造的“数智苏豪”新街口OPC社区揭牌
电 动 知 家消 息,近日,据外媒报道,据福特汽车日前发布的一份文件,该公司首席执行 官吉姆·法利2025年的总薪酬大幅增长了11%,达到约2752万美元(约1 9亿元人民币),这是其自2020年末
白宫里,一台人形机器人缓步走入东厅,与美国“第一夫人”并肩亮相,动作仍带着明显的机械感;仅仅一天后,国会山上,这种“会走路的机器”却被划为潜在安全威胁,写进立法提案。这是上周美国上演的荒诞一幕。两党