CVE-2025-61786
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
08/10/2025
Última modificación:
16/10/2025
Descripción
*** Pendiente de traducción *** Deno is a JavaScript, TypeScript, and WebAssembly runtime. In versions prior to 2.5.3 and 2.2.15, `Deno.FsFile.prototype.stat` and `Deno.FsFile.prototype.statSync` are not limited by the permission model check `--deny-read=./`. It's possible to retrieve stats from files that the user do not have explicit read access to (the script is executed with `--deny-read=./`). Similar APIs like `Deno.stat` and `Deno.statSync` require `allow-read` permission, however, when a file is opened, even with file-write only flags and deny-read permission, it's still possible to retrieve file stats, and thus bypass the permission model. Versions 2.5.3 and 2.2.15 fix the issue.
Impacto
Puntuación base 3.x
3.30
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:deno:deno:*:*:*:*:*:*:*:* | 2.2.15 (incluyendo) | |
| cpe:2.3:a:deno:deno:*:*:*:*:*:*:*:* | 2.3.0 (incluyendo) | 2.5.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/denoland/deno/commit/1ab2268c0bcbf9b0468e0e36963f77f8c31c73ec
- https://github.com/denoland/deno/pull/30876
- https://github.com/denoland/deno/releases/tag/v2.2.15
- https://github.com/denoland/deno/releases/tag/v2.5.3
- https://github.com/denoland/deno/security/advisories/GHSA-qq26-84mh-26j9