Vulnerabilidad en Deno (CVE-2024-27934)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-416 Utilización después de liberación

Fecha de publicación:

21/03/2024

Última modificación:

03/01/2025

Descripción

Deno es un tiempo de ejecución de JavaScript, TypeScript y WebAssembly. A partir de la versión 1.36.2 y antes de la versión 1.40.3, el uso de `*const c_void` y `ExternalPointer` inherentemente inseguros conduce al acceso libre de uso a la estructura subyacente, lo que resulta en la ejecución de código arbitrario. El uso de `*const c_void` y `ExternalPointer` inherentemente inseguros conduce a use-after-free a la estructura subyacente, que es explotable por un atacante que controla el código ejecutado dentro de un tiempo de ejecución de Deno para obtener la ejecución de código arbitrario en la máquina host independientemente de permisos. Se sabe que este error es explotable tanto para implementaciones `*const c_void` como `ExternalPointer`. La versión 1.40.3 soluciona este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.40 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto