CVE-2026-49402
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
W Deno przed wersją 2.7.10 funkcja escapeShellArg() w implementacji node:child_process nieprawidłowo obsługiwała znaki specjalne cmd.exe w systemie Windows. Atakujący kontrolujący część argumentu przekazanego do spawn() lub exec() z opcją shell:true mógł wstrzyknąć dodatkowe polecenia.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wykonania dowolnych poleceń w systemie Windows przez atakującego, który ma wpływ na argumenty przekazywane do procesów potomnych uruchamianych przez Deno.
Rekomendacja
Należy niezwłocznie zaktualizować Deno do wersji 2.7.10 lub nowszej. W międzyczasie unikać używania opcji shell:true w wywołaniach spawn/exec na systemach Windows.
Oryginalny opis (angielski, źródło NVD)
Deno is a JavaScript, TypeScript, and WebAssembly runtime. Prior to 2.7.10, Deno's node:child_process implementation provided an escapeShellArg() helper used when callers passed shell: true to spawn / spawnSync / exec and friends. On Windows, the helper failed to quote arguments that contained cmd.exe metacharacters and did not neutralize % (which cmd.exe expands even inside double-quoted strings). An attacker who controlled any portion of an argument passed to such a call could inject arbitrary additional commands into the spawned cmd.exe invocation. This vulnerability is fixed in 2.7.10.

