Vulnerabilidad en Deno (CVE-2025-48888)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/06/2025
Última modificación:
02/07/2025
Descripción
Deno es un entorno de ejecución de JavaScript, TypeScript y WebAssembly. A partir de la versión 1.41.3 y anteriores a las versiones 2.1.13, 2.2.13 y 2.3.2, `deno run --allow-read --deny-read main.ts` da como resultado "permitido", aunque `deny' debería ser más seguro. El resultado es el mismo con todos los permisos unarios globales asignados como `--allow-* --deny-*`. Esto solo afecta a una combinación de indicadores sin sentido, por lo que no debería tener un impacto real en la base de usuarios. Los usuarios pueden actualizar a las versiones 2.1.13, 2.2.13 o 2.3.2 para recibir un parche.
Impacto
Puntuación base 4.0
5.50
Gravedad 4.0
MEDIA
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:deno:deno:*:*:*:*:*:*:*:* | 1.41.3 (incluyendo) | 2.1.13 (excluyendo) |
cpe:2.3:a:deno:deno:*:*:*:*:*:*:*:* | 2.2.0 (incluyendo) | 2.2.13 (excluyendo) |
cpe:2.3:a:deno:deno:*:*:*:*:*:*:*:* | 2.3.0 (incluyendo) | 2.3.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/denoland/deno/commit/2f0fae9d9071dcaf0a689bc7097584b1b9ebc8db
- https://github.com/denoland/deno/commit/9d665572d3cd39f997e29e6daac7c1102fc5c04f
- https://github.com/denoland/deno/commit/ef315b56c26c9ef5f25284a5100d2ed525a148cf
- https://github.com/denoland/deno/pull/22894
- https://github.com/denoland/deno/pull/29213
- https://github.com/denoland/deno/security/advisories/GHSA-xqxc-x6p3-w683
- https://github.com/denoland/deno/security/advisories/GHSA-xqxc-x6p3-w683