CVE-2026-49401
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
W systemie Deno przed wersją 2.7.14 mechanizm uprawnień porównywał ścieżki plików na poziomie bajtów, podczas gdy system plików APFS w macOS traktuje różne zapisy Unicode tej samej nazwy jako ten sam plik. Umożliwia to programowi ominięcie reguł blokowania dostępu do ścieżek poprzez użycie alternatywnej pisowni znaków Unicode.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do plików, wykonywania kodu lub wywołań FFI, które powinny być zablokowane przez reguły --deny-read, --deny-write, --deny-run lub --deny-ffi.
Rekomendacja
Należy niezwłocznie zaktualizować Deno do wersji 2.7.14 lub nowszej, która zawiera poprawkę usuwającą tę lukę.
Oryginalny opis (angielski, źródło NVD)
Deno is a JavaScript, TypeScript, and WebAssembly runtime. Prior to 2.7.14, Deno's permission system enforces filesystem and execution restrictions by comparing the requested path against the path supplied to --deny-read, --deny-write, --deny-run, or --deny-ffi. On macOS, that comparison was done at the raw-byte level while the APFS filesystem treats different Unicode spellings of the same name as the same file. That means a program could reach a denied path by spelling it differently than the deny rule. This vulnerability is fixed in 2.7.14.

