Katalog CVE

CVE-2026-49402

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

W Deno przed wersją 2.7.10 funkcja escapeShellArg() w implementacji node:child_process nieprawidłowo obsługiwała znaki specjalne cmd.exe w systemie Windows. Atakujący kontrolujący część argumentu przekazanego do spawn() lub exec() z opcją shell:true mógł wstrzyknąć dodatkowe polecenia.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wykonania dowolnych poleceń w systemie Windows przez atakującego, który ma wpływ na argumenty przekazywane do procesów potomnych uruchamianych przez Deno.

Rekomendacja

Należy niezwłocznie zaktualizować Deno do wersji 2.7.10 lub nowszej. W międzyczasie unikać używania opcji shell:true w wywołaniach spawn/exec na systemach Windows.

Oryginalny opis (angielski, źródło NVD)

Deno is a JavaScript, TypeScript, and WebAssembly runtime. Prior to 2.7.10, Deno's node:child_process implementation provided an escapeShellArg() helper used when callers passed shell: true to spawn / spawnSync / exec and friends. On Windows, the helper failed to quote arguments that contained cmd.exe metacharacters and did not neutralize % (which cmd.exe expands even inside double-quoted strings). An attacker who controlled any portion of an argument passed to such a call could inject arbitrary additional commands into the spawned cmd.exe invocation. This vulnerability is fixed in 2.7.10.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS