CRITICAL🇬🇧 English

CVE-2026-22863

Deno node:crypto — brak finalizacji szyfru umożliwia wielokrotne szyfrowanie

CVSS 9.2v4.0pub. 2026-01-15upd. 2026-01-21

W środowisku uruchomieniowym Deno przed wersją 2.6.0 moduł node:crypto nie finalizuje poprawnie obiektu szyfru. Podatność umożliwia atakującemu przeprowadzenie nieograniczonej liczby operacji szyfrowania, co może prowadzić do ujawnienia sekretów po stronie serwera.

Pokaż oryginał (EN)

Deno is a JavaScript, TypeScript, and WebAssembly runtime. Before 2.6.0, node:crypto doesn't finalize cipher. The vulnerability allows an attacker to have infinite encryptions. This can lead to naive attempts at brute forcing, as well as more refined attacks with the goal to learn the server secrets. This vulnerability is fixed in 2.6.0.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-325 (Missing Required Cryptographic Step) polega na tym, że moduł node:crypto w Deno nie wykonuje wymaganego kroku finalizacji szyfru (cipher finalization). Brak finalizacji oznacza, że stan wewnętrzny szyfru nie jest prawidłowo resetowany ani kończony po operacji szyfrowania. Atakujący może to wykorzystać do przeprowadzenia nieograniczonej liczby operacji szyfrowania w ramach tej samej sesji, co ułatwia zarówno naiwne ataki brute-force, jak i bardziej zaawansowane ataki analityczne zmierzające do odtworzenia sekretów serwera.

Skutki

Atakujący zdalnie i bez uwierzytelnienia może uzyskać dostęp do poufnych informacji, w tym potencjalnie sekretów kryptograficznych przechowywanych po stronie serwera (wysoka poufność kontekstu systemowego — SC:H). Integralność i dostępność zasobów nie są bezpośrednio zagrożone.

Mitygacja

Należy zaktualizować Deno do wersji 2.6.0 lub nowszej, w której podatność została naprawiona. Szczegóły patcha dostępne w oficjalnych informacjach o wydaniu: https://github.com/denoland/deno/releases/tag/v2.6.0

Kogo dotyczy

Deno w wersjach przed 2.6.0 — wszystkie aplikacje korzystające z modułu node:crypto w tym środowisku.

Uwagi

Podatność zgłoszona i naprawiona przez zespół Deno — szczegóły w security advisory GHSA-5379-f5hf-w38v opublikowanym na GitHub. Brak bieżącego potwierdzenia aktywnego wykorzystania (CISA KEV: NIE).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Deno

    APP
    Deno
    < 2.6.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-28445CRITICAL9.9ten sam produkt

Deno is a runtime for JavaScript and TypeScript that uses V8 and is built in Rust. Resizable ArrayBuffers pass...

CVE-2022-24783CRITICAL10.0ten sam produkt

Deno is a runtime for JavaScript and TypeScript. The versions of Deno between release 1.18.0 and 1.20.2 (inclu...

CVE-2021-32619CRITICAL9.8ten sam produkt

Deno is a runtime for JavaScript and TypeScript that uses V8 and is built in Rust. In Deno versions 1.5.0 to 1...

CVE-2026-44726HIGH7.4ten sam produkt

Deno is a JavaScript, TypeScript, and WebAssembly runtime. From 2.0.0 until 2.7.8, a flaw in Deno's Node.js tl...

CVE-2026-49401HIGH7.3ten sam produkt

Deno is a JavaScript, TypeScript, and WebAssembly runtime. Prior to 2.7.14, Deno's permission system enforces ...

CVE-2026-22863 — Deno node:crypto — brak finalizacji szyfru umożliwia wielokrotne szyfrowanie — CRITICAL 9.2 | CVEbaza.pl