PT-2021-19811 · Deno · Deno
Lucacasonato
+1
·
Publicado
2021-05-28
·
Atualizado
2026-04-14
·
CVE-2021-32619
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Deno de 1.5.0 a 1.10.1
Descrição
O problema diz respeito a módulos importados dinamicamente por meio de
import() ou new Worker, que podem contornar as verificações de permissão de rede e do sistema de arquivos ao importar estaticamente outros módulos. Um invasor que controle um módulo no gráfico de módulos de um programa poderia iniciar solicitações GET para URLs arbitrárias e, possivelmente, ler o conteúdo desses recursos, ou verificar a existência de caminhos arbitrários no sistema de arquivos e, possivelmente, ler o conteúdo desses arquivos. Essa vulnerabilidade não estava presente em versões anteriores à 1.5.0 e não foi explorada na prática, conforme indicado pela ausência de relatos e pelo comportamento padrão do Deno de exibir uma mensagem de “Download” quando importações remotas são baixadas.Recomendações
Para as versões do Deno de 1.5.0 a 1.10.1, atualize para a versão 1.10.2 do Deno executando o comando
deno upgrade para corrigir a vulnerabilidade.No momento, não há solução alternativa para este problema além de atualizar para a versão corrigida.
Correção
Incorrect Authorization
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Deno