Vulnerabilidad en Deno para JavaScript y TypeScrypt (CVE-2023-22499)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-362 Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)

Fecha de publicación:

17/01/2023

Última modificación:

25/01/2023

Descripción

Deno es un tiempo de ejecución para JavaScript y TypeScript que usa V8 y está integrado en Rust. Los programas multiproceso pudieron falsificar el mensaje de permiso interactivo reescribiéndolo para sugerir que el programa está esperando la confirmación del usuario para una acción no relacionada. Un programa malicioso podría borrar la pantalla del terminal después de que se mostrara la solicitud de permiso y escribir un mensaje genérico. Esta situación afecta a los usuarios que utilizan Web Worker API y dependen de la solicitud de permiso interactiva. La reproducción es muy sensible al tiempo y no se puede reproducir de forma fiable en cada intento. Este problema no se puede explotar en sistemas que no adjuntan un mensaje interactivo (por ejemplo, servidores sin cabeza). El problema se solucionó en Deno v1.29.3; Se recomienda que todos los usuarios actualicen a esta versión. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden ejecutar el indicador --no-prompt para deshabilitar las solicitudes de permisos interactivos.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto