Vulnerabilidad en Deno (CVE-2025-24015)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/06/2025
Última modificación:
09/06/2025
Descripción
Deno es un entorno de ejecución de JavaScript, TypeScript y WebAssembly con valores predeterminados seguros. Las versiones 1.46.0 a 2.1.6 presentan un problema que afecta a AES-256-GCM y AES-128-GCM en Deno, donde la etiqueta de autenticación no se valida. Esto implica que podrían no detectarse textos cifrados alterados o claves incorrectas, lo que incumple las garantías esperadas de AES-GCM. Las versiones anteriores de Deno, al igual que Node.js, generaban errores correctamente en estos casos. Sin la verificación de la etiqueta de autenticación, AES-GCM se degrada al modo CTR, eliminando la protección de integridad. El conjunto de datos autenticado con set_aad también se ve afectado, ya que se incorpora al hash de GCM (ghash), pero este tampoco se valida, lo que inutiliza las comprobaciones de AAD. La versión 2.1.7 incluye un parche que soluciona este problema.
Impacto
Puntuación base 4.0
7.70
Gravedad 4.0
ALTA
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:deno:deno:*:*:*:*:*:*:*:* | 1.46.0 (incluyendo) | 2.1.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/denoland/deno/commit/0d1beed
- https://github.com/denoland/deno/commit/4f27d7cdc02e3edfb9d36275341fb8185d6e99ed
- https://github.com/denoland/deno/commit/a4003a5292bd0affefad3ecb24a8732886900f67
- https://github.com/denoland/deno/security/advisories/GHSA-2x3r-hwv5-p32x
- https://github.com/denoland/deno/security/advisories/GHSA-2x3r-hwv5-p32x