CVE-2026-44726
WysokieCVSS 7.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
W Deno od wersji 2.0.0 do 2.7.8 wykryto podatność w warstwie kompatybilności z Node.js tls. Gdy włączona jest opcja autoSelectFamily i pierwsza próba połączenia dla rodziny adresów nie powiedzie się, ponowne połączenie może nie zostać zabezpieczone TLS, co skutkuje przesyłaniem danych aplikacji w postaci jawnego tekstu.
Ocena ryzyka
Atakujący w sieci, który może spowodować niepowodzenie pierwszej próby połączenia (np. blokując ruch IPv6 na hoście z podwójnym stosem), może przechwycić lub modyfikować dane, które aplikacja uważa za chronione TLS.
Rekomendacja
Należy niezwłocznie zaktualizować Deno do wersji 2.7.8 lub nowszej, która zawiera poprawkę tej podatności.
Oryginalny opis (angielski, źródło NVD)
Deno is a JavaScript, TypeScript, and WebAssembly runtime. From 2.0.0 until 2.7.8, a flaw in Deno's Node.js tls compatibility layer could cause a TLS client to transmit application data in plaintext after a connection retry. When `autoSelectFamily was enabled and the first address-family attempt failed, the socket reinitialization path reused a stale TLS upgrade hook that was bound to the original, failed handle. As a result, the replacement TCP connection was never upgraded to TLS, and any data the application wrote before the secureConnect event travelled over the network unencrypted. A network attacker positioned to cause the initial connection attempt to fail (for example, by dropping IPv6 traffic on a dual-stack host) could deterministically trigger the fallback path and observe or tamper with traffic that the application believed was TLS-protected. This vulnerability is fixed in 2.7.8.

