CVE-2026-55517

Nome do Software Vulnerável e Versões Afetadas Deno versões anteriores a 2.7.5

Descrição Um programa Deno que abre uma conexão WebSocket de cliente pode ser derrubado por um servidor remoto. Durante a resposta do handshake do WebSocket, o Deno analisava os cabeçalhos de resposta 'Sec-WebSocket-Protocol' e 'Sec-WebSocket-Extensions' assumindo que os bytes eram ASCII imprimíveis. Se um cabeçalho de resposta contiver bytes não-ASCII visíveis (0x80-0xFF), isso dispara um pânico na função HeaderValue::to str(), que aborta todo o processo Deno. Isso resulta em uma negação de serviço remota, onde um invasor que controle o endpoint WebSocket ou realize um ataque de man-in-the-middle em uma conexão 'ws://' de texto simples pode encerrar o processo que iniciou a conexão de saída.

Recomendações Atualize para a versão 2.7.5 ou posterior. Como medida paliativa temporária, conecte-se apenas a endpoints WebSocket confiáveis e prefira 'wss://' (TLS) em vez de 'ws://' para evitar a injeção de bytes de cabeçalho maliciosos por man-in-the-middle de rede.