CVE-2026-27190

Nome do Software Vulnerável e Versões Afetadas Versões do Deno anteriores à 2.6.8

Descrição Há uma vulnerabilidade de injeção de comandos na implementação do node:child process do Deno. A vulnerabilidade permite a execução arbitrária de comandos por meio de entradas elaboradas fornecidas à função spawnSync quando a opção shell está definida como true. Um proof-of-concept demonstra a criação de um arquivo (/tmp/rce proof) para confirmar a exploração bem-sucedida. O código vulnerável utiliza a função Deno.execPath() e a função spawnSync com a opção shell: true, permitindo injeção de comandos por meio de caracteres de nova linha na entrada. O parâmetro vulnerável é a entrada fornecida à função spawnSync.

Recomendações Atualize para a versão 2.6.8 do Deno ou superior.