CVE-2024-27935

Versões do Deno 1.35.1 a 1.36.2

Uma vulnerabilidade no ambiente de execução de compatibilidade com Node.js do Deno permite a contaminação de dados entre sessões durante leituras assíncronas simultâneas de fluxos do Node.js provenientes de soquetes ou arquivos. Este problema decorre da reutilização de um buffer global (BUF) em stream wrap.ts, usado como otimização de desempenho para limitar alocações durante essas operações de leitura assíncrona. A vulnerabilidade pode levar a que dados destinados a uma sessão sejam recebidos por outra sessão, resultando potencialmente em corrupção de dados e comportamento inesperado. Isso afeta todos os usuários do Deno que utilizam a camada de compatibilidade com o Node.js para comunicação de rede ou outros fluxos, incluindo pacotes que possam exigir bibliotecas do Node.js indiretamente.

Para as versões 1.35.1 a 1.36.2 do Deno, atualize para a versão 1.36.3 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de fluxos do Node.js originados de soquetes ou arquivos até que um patch seja aplicado. Restrinja o acesso ao módulo stream wrap.ts para minimizar o risco de exploração. Evite usar a API net.Stream conectada a servidores remotos, como bancos de dados ou armazenamentos de chave/valor, até que o problema seja resolvido.