漏洞标题
Deno的Node.js兼容性运行时存在跨会话数据污染的风险。
漏洞描述信息
Deno是一个JavaScript、TypeScript和WebAssembly的运行时。从版本1.35.1开始,直到版本1.36.3之前,Deno在Node.js兼容性运行时中存在一个漏洞,这允许在同时异步读取来自网络连接或文件源的Node.js流时,跨会话数据污染发生。问题源于stream_wrap.ts中的全局缓冲区(BUF)的重用,这是作为一种性能优化来限制这些异步读取操作期间的分配。这可能导致本应发给一个会话的数据被另一个会话接收,从而可能导致数据损坏和意外行为。这个问题影响了所有使用Deno并利用Node.js兼容性层进行网络通信或其他流的应用程序用户,包括可能间接需要Node.js库的包。版本1.36.3包含对这个问题的补丁。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
通过差异性导致的信息暴露
漏洞标题
Deno's Node.js Compatibility Runtime has Cross-Session Data Contamination
漏洞描述信息
Deno is a JavaScript, TypeScript, and WebAssembly runtime. Starting in version 1.35.1 and prior to version 1.36.3, a vulnerability in Deno's Node.js compatibility runtime allows for cross-session data contamination during simultaneous asynchronous reads from Node.js streams sourced from sockets or files. The issue arises from the re-use of a global buffer (BUF) in stream_wrap.ts used as a performance optimization to limit allocations during these asynchronous read operations. This can lead to data intended for one session being received by another session, potentially resulting in data corruption and unexpected behavior. This affects all users of Deno that use the node.js compatibility layer for network communication or other streams, including packages that may require node.js libraries indirectly. Version 1.36.3 contains a patch for this issue.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L
漏洞类别
对错误会话暴露数据元素
漏洞标题
Deno 安全漏洞
漏洞描述信息
Deno是开源的一个简单、现代且安全的JavaScript和 TypeScript运行环境。它使用 V8 并使用 Rust 构建。 Deno 1.35.1 到 1.36.3版本存在安全漏洞,该漏洞源于Node.js 兼容性存在问题,在stream_wrap.ts 中重用全局缓冲区,导致跨会话数据污染。
CVSS信息
N/A
漏洞类别
其他