CVE-2025-24015

Nome do Software Vulnerável e Versões Afetadas Versões do Deno de 1.46.0 a 2.1.6

Descrição O problema afeta AES-256-GCM e AES-128-GCM no Deno, onde a tag de autenticação não está sendo validada. Isso significa que cifrados adulterados ou chaves incorretas podem não ser detectados, o que quebra as garantias esperadas do AES-GCM. Sem a verificação da tag de autenticação, o AES-GCM degrada essencialmente para o modo CTR, removendo a proteção de integridade. Dados autenticados definidos com set aad também são afetados, pois são incorporados ao hash GCM (ghash), mas isso também não é validado, tornando as verificações de AAD ineficazes.

Recomendações Para as versões do Deno de 1.46.0 a 2.1.6, atualize para a versão 2.1.7 ou posterior para corrigir o problema. Como solução temporária, considere desabilitar o uso de AES-256-GCM e AES-128-GCM até que uma correção esteja disponível. Restrinja o acesso às funções afetadas createCipheriv e createDecipheriv para minimizar o risco de exploração. Evite usar a função set aad nos endpoints da API afetados até que o problema seja resolvido.