Vulnerabilidad en Deno (CVE-2024-27935)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/03/2024
Última modificación:
03/01/2025
Descripción
Deno es un tiempo de ejecución de JavaScript, TypeScript y WebAssembly. A partir de la versión 1.35.1 y antes de la versión 1.36.3, una vulnerabilidad en el tiempo de ejecución de compatibilidad de Node.js de Deno permite la contaminación de datos entre sesiones durante lecturas asincrónicas simultáneas de flujos de Node.js provenientes de sockets o archivos. El problema surge de la reutilización de un búfer global (BUF) en stream_wrap.ts utilizado como optimización del rendimiento para limitar las asignaciones durante estas operaciones de lectura asincrónicas. Esto puede provocar que los datos destinados a una sesión sean recibidos por otra sesión, lo que podría provocar daños en los datos y comportamientos inesperados. Esto afecta a todos los usuarios de Deno que usan la capa de compatibilidad de node.js para la comunicación de red u otras transmisiones, incluidos los paquetes que pueden requerir librerías de node.js indirectamente. La versión 1.36.3 contiene un parche para este problema.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:deno:deno:*:*:*:*:*:*:*:* | 1.35.1 (incluyendo) | 1.36.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/denoland/deno/commit/3e9fb8aafd9834ebacd27734cea4310caaf794c6
- https://github.com/denoland/deno/issues/20188
- https://github.com/denoland/deno/security/advisories/GHSA-wrqv-pf6j-mqjp
- https://github.com/denoland/deno/commit/3e9fb8aafd9834ebacd27734cea4310caaf794c6
- https://github.com/denoland/deno/issues/20188
- https://github.com/denoland/deno/security/advisories/GHSA-wrqv-pf6j-mqjp